在信息高度发达的今天,各种各样的抓包文件满天飞,QQ或微信群里面,三言两语就上抓包文件。

通过共享抓包文件进行求助,分析故障,解决问题,亦或分享经验,共同学习、进步和成长,初衷固然是好的。

但是,也许重要信息在无形无意识中,可能已经被泄露。

为什么要隐藏抓包文件中的部分信息

抓包文件通常包含网络用户的个人数据,有关网络内部结构的信息,以及其他敏感数据。部分合规准则已明确规定,无论与供应商、客户甚至内部共享抓包文件,都是不符合规定要求的。

因此,在共享抓包文件前,修改或隐藏文件中的敏感信息是绝对有必要的。

如何隐藏

要达到隐藏抓包真实IP信息的目的,通常需要借助部分文本编辑器或现有工具,使用文本编辑器进行替换,但这种使用编辑器替换内容的方式,无法自动计算报文头部校验和信息。

本教程推荐使用一款名为Bit-Twist的工具,使用该工具修改后,会自动计算头部校验和信息,相当方便。

Bit-Twist工具套件由2个工具组成,Bit-Twist和Bit-Twiste,第二个文件比第一个多了个e。Bit-Twist是一个基于libpap的功能强大的数据包回放工具,由OS X、BSD及Windows版本。Bit-Twiste是一个可以编辑抓包文件的工具。该工具具有过滤功能,同时,支持数据包修改,对Ethernet、ARP、IP、ICMP、TCP及UDP类型的数据包都支持。

唯一遗憾的是,该工具不是基于GUI的,需要基于命令行运行。

隐藏真实IP实例

下面进行一个简单的演示,讲解如何使用数据包编辑工具隐藏原始抓包文件中的IP地址。

假设以下demo1.pcap中的内部地址172.20.10.3是内部地址,或者我们需要隐藏的IP地址信息。

抓包软件怎么修改ip地址(如何隐藏抓包文件中的真实IP地址)(1)

我们通过修改,将抓包文件demo1.pcap中的IP地址172.20.10.3替换为192.168.10.3,并输出为文件demo1_changed.pacp,以此达到因此真实IP地址的目的。修改方法如下。

先进入到工具目录。

抓包软件怎么修改ip地址(如何隐藏抓包文件中的真实IP地址)(2)

执行如下命令。

bittwiste.exe -I demo1.pcap -O demo1_changed.pcap -Tip -s 172.20.10.3,192.168.10.3 -d 172.20.10.3,192.168.10.3

注意,这里演示的抓包文件和命令行文件在同一目录。如果目标和目的抓包文件在其它位置,更改-I和-O参数路径即可。

命令执行结果如下。

抓包软件怎么修改ip地址(如何隐藏抓包文件中的真实IP地址)(3)

再次打开修改后的抓包文件。显示如下。

抓包软件怎么修改ip地址(如何隐藏抓包文件中的真实IP地址)(4)

从中看到,我们已经成功的修改了想要隐藏的原抓包文件中的IP地址。

可能会出现的问题

在执行命令行工具时,有可能会弹出如下错误提示。

抓包软件怎么修改ip地址(如何隐藏抓包文件中的真实IP地址)(5)

出现该错误提示的原因是系统中缺少cygwin1.dll文件。

找到对应版本的cygwin1.dll文件,拷贝到x:\windows目录中,再次执行命令即可。

,