在信息高度发达的今天,各种各样的抓包文件满天飞,QQ或微信群里面,三言两语就上抓包文件。

通过共享抓包文件进行求助,分析故障,解决问题,亦或分享经验,共同学习、进步和成长,初衷固然是好的。

但是,也许重要信息在无形无意识中,可能已经被泄露。

为什么要隐藏抓包文件中的部分信息

抓包文件通常包含网络用户的个人数据,有关网络内部结构的信息,以及其他敏感数据。 部分合规准则已明确规定,无论与供应商、客户甚至内部共享抓包文件,都是不符合规定要求的。

因此,在共享抓包文件前,修改或隐藏文件中的敏感信息是绝对有必要的。

如何隐藏

要达到隐藏抓包真实IP信息的目的,通常需要借助部分文本编辑器或现有工具,使用文本编辑器进行替换,但这种使用编辑器替换内容的方式,无法自动计算报文头部校验和信息。

本教程推荐使用一款名为Bit-Twist的工具,使用该工具修改后,会自动计算头部校验和信息,相当方便。

Bit-Twist工具套件由2个工具组成,Bit-TwistBit-Twiste,第二个文件比第一个多了个eBit-Twist是一个基于libpap的功能强大的数据包回放工具,由OS XBSDWindows版本。Bit-Twiste是一个可以编辑抓包文件的工具。该工具具有过滤功能,同时,支持数据包修改,对EthernetARPIPICMPTCPUDP类型的数据包都支持。

唯一遗憾的是,该工具不是基于GUI的,需要基于命令行运行。

隐藏真实IP地址实例

下面进行一个简单的演示,讲解如何使用数据包编辑工具隐藏原始抓包文件中的IP地址。

假设以下demo1.pcap中的内部地址172.20.10.3是内部地址,或者我们需要隐藏的IP地址信息。

网络分析 NetInside Wireshark网络分析器

我们通过修改,将抓包文件demo1.pcap中的IP地址172.20.10.3替换为192.168.10.3,并输出为文件demo1_changed.pacp,以此达到因此真实IP地址的目的。修改方法如下。

先进入到工具目录。

网深科技 NetInside 网络分析 Wireshark网络分析器

执行如下命令。

bittwiste.exe -I demo1.pcap -O demo1_changed.pcap -T ip -s 172.20.10.3,192.168.10.3 -d 172.20.10.3,192.168.10.3

注意,这里演示的抓包文件和命令行文件在同一目录。如果目标和目的抓包文件在其它位置,更改-I-O参数路径即可。

命令执行结果如下。

网深科技 NetInside 网络分析 Wireshark管理过滤器

再次打开修改后的抓包文件。显示如下。

网深科技 NetInside 网络分析 Wireshark捕获过滤器

从中看到,我们已经成功的修改了想要隐藏的原抓包文件中的IP地址。

可能会出现的问题

在执行命令行工具时,有可能会弹出如下错误提示。

网深科技 NetInside 网络分析 Wireshark 抓包过滤器语法规则

出现该错误提示的原因是系统中缺少cygwin1.dll文件。

找到对应版本的cygwin1.dll文件,拷贝到x:\windows目录中,再次执行命令即可。