pcap Re2Pcap：由原始http请求响应创建pcap数据包

Re2Pcap是英语单词Request2Pcap和Response2Pcap的缩写。社区用户可以使用Re2Pcap快速创建Pcap文件，并根据Snort规则对其进行测试。

Re2Pcap允许您为原始HTTP请求快速创建Pcap文件。

POST/admin/tools/iplogging . CGI HTTP/1.1

主持人:192.168.13.31:80

用户代理:Mozilla/5.0Gecko/20100101 Firefox/60.0

接受:文本/普通，*/*；q=0.01

接受-语言:en-US，en；q=0.5

接受-编码:g，deflate

refer:http://192 . 168 . 13 . 31:80/admin/tools/iplogg . html

内容-类型:应用/x-www-form-URL encoded；字符集=UTF-8

x-请求-与:

内容-长度:63

cookie:token = 1e 9 c 07 e 135 a 15 e 40 b 3290 c 320245 ca 9a

连接:关闭

tcpdumpParams = tcpdump-z reboot-G2-I et h0 & amp；stateRequest=start

使用

git克隆https://github.com/Cisco-Talos/Re2Pcap.git

cd Re2Pcap/

docker build -t re2pcap。

docker run-RM-cap-add . NET _ ADMIN-p 5000:5000 re2 pcap

在Web浏览器中打开localhost:5000访问Re2Pcap，或者使用Re2Pcap-cmd脚本与Re2Pcap容器交互，获取当前工作目录中的Pcap文件。

前提

码头工人

HTTP原始请求/响应

网络浏览器

优势

易于安装。不需要复杂的多虚拟机设置

Re2Pcap运行在基于Alpine Linux的docker镜像上，体积小于90MB

构建

来自阿尔卑斯山

#获取Re2Pcap所需的依赖项和设置

RUN echo " http://dl-cdn . alpinelinux . org/alpine/edge/testing "/>

Re2Pcap发展处

目前，Re2Pcap开发部门具有以下额外职能

模拟对PCAP的原始HTTP请求和响应

更好的输入验证

下图显示了Re2Pcap dev用于创建一个Pcap文件，用于将漏洞注入Sierra wireless airlink es 450 ace manager IP logging . CGI命令:

Re2Pcap工作流

如上图所示，Re2Pcap是基于Alpine Linux的Python3应用，有一个基于Flask的Web界面。

Re2Pcap将输入数据解析为原始的HTTP请求或响应，并在捕获数据包时实际执行客户机/服务器交互。交互后，Re2Pcap将以Pcap文件格式显示捕获的数据包。

建议

用Linux做主机操作系统，因为Re2Pcap已经在Linux上进行了全面测试。

如果您为主机主机:somedomain:5000创建了一个PCAP，请通过修改Re2Pcap将Flask应用程序更改为在另一个端口上运行。运行调用，否则PCAP将包含烧瓶应用程序响应

限制

如果原始HTTP请求中没有接受编码标头，则接受编码:标识标头将被添加到请求中。

python请求存在已知的问题

太可怕了。接受编码:射频识别系统说，身份总是有效的。发了应该是完全无害的。否则，删除它需要我们替换httplib

以下是来自re2pca的pcap中的来源和设计

源地址IP: 10.10.10.1

目标IP: 172.17.0.2，请使用tcprewrite -D选项根据需要将设计IP修改为另一个IP地址。您也可以使用tcpprep和tcprewrite将其他IP设置为端点。因为tcprewrite的结果不一致，所以我用另一种方法设置了不同的SRC/DST IP

将HTTP/1.1 302指定为响应将生成PCAP，并以最大可能重试次数访问位置:标头中指定的资源。您也可以在测试中使用wireshark仅导出第一个HTTP流，并排除可能影响您的其他流。

*参考资料来源:GitHub，FB边肖secist编译，请指出它来自FreeBuf.COM