在資訊高度發達的今天,各種各樣的抓包檔案滿天飛,QQ或微信群裡面,三言兩語就上抓包檔案。
透過共享抓包檔案進行求助,分析故障,解決問題,亦或分享經驗,共同學習、進步和成長,初衷固然是好的。
但是,也許重要資訊在無形無意識中,可能已經被洩露。
為什麼要隱藏抓包檔案中的部分資訊
抓包檔案通常包含網路使用者的個人資料,有關網路內部結構的資訊,以及其他敏感資料。部分合規準則已明確規定,無論與供應商、客戶甚至內部共享抓包檔案,都是不符合規定要求的。
因此,在共享抓包檔案前,修改或隱藏檔案中的敏感資訊是絕對有必要的。
如何隱藏
要達到隱藏抓包真實IP資訊的目的,通常需要藉助部分文字編輯器或現有工具,使用文字編輯器進行替換,但這種使用編輯器替換內容的方式,無法自動計算報文頭部校驗和資訊。
本教程推薦使用一款名為Bit-Twist的工具,使用該工具修改後,會自動計算頭部校驗和資訊,相當方便。
Bit-Twist工具套件由2個工具組成,Bit-Twist和Bit-Twiste,第二個檔案比第一個多了個e。Bit-Twist是一個基於libpap的功能強大的資料包回放工具,由OS X、BSD及Windows版本。Bit-Twiste是一個可以編輯抓包檔案的工具。該工具具有過濾功能,同時,支援資料包修改,對Ethernet、ARP、IP、ICMP、TCP及UDP型別的資料包都支援。
唯一遺憾的是,該工具不是基於GUI的,需要基於命令列執行。
隱藏真實IP例項
下面進行一個簡單的演示,講解如何使用資料包編輯工具隱藏原始抓包檔案中的IP地址。
假設以下demo1。pcap中的內部地址172。20。10。3是內部地址,或者我們需要隱藏的IP地址資訊。
我們透過修改,將抓包檔案demo1。pcap中的IP地址172。20。10。3替換為192。168。10。3,並輸出為檔案demo1_changed。pacp,以此達到因此真實IP地址的目的。修改方法如下。
先進入到工具目錄。
執行如下命令。
bittwiste。exe -I demo1。pcap -O demo1_changed。pcap -Tip -s 172。20。10。3,192。168。10。3 -d 172。20。10。3,192。168。10。3
注意,這裡演示的抓包檔案和命令列檔案在同一目錄。如果目標和目的抓包檔案在其它位置,更改-I和-O引數路徑即可。
命令執行結果如下。
再次開啟修改後的抓包檔案。顯示如下。
從中看到,我們已經成功的修改了想要隱藏的原抓包檔案中的IP地址。
可能會出現的問題
在執行命令列工具時,有可能會彈出如下錯誤提示。
出現該錯誤提示的原因是系統中缺少cygwin1。dll檔案。
找到對應版本的cygwin1。dll檔案,複製到x:\windows目錄中,再次執行命令即可。