https://www.cnblogs.com/bonelee/p/15195980.html

Tcpreplay是一種pcap包的重放工具, 它可以將tcpdump和Ethereal/Wireshark等工具捕捉到的網路流量包進行編輯修改和重放. 重寫Layer 2、3、4層資料包，並將流量重新發送至目標網路, 這樣通過重放網路流量包從而實現復現問題情景以定位bug

tcpreplay本身包含了幾個輔助工具（tcpprep、tcprewrite、tcpreplay和tcpbridge等等）

» tcpreplay：以任意速度將pcap檔案重播到網路上

» tcprewrite：編輯pcap檔案並建立一個新的pcap檔案

» tcpreplay-edit：編輯pcap檔案並重放到網路上

» tcpprep：建立tcpreplay / tcprewrite使用的客戶端/伺服器定義快取檔案

» tcpbridge：使用tcprewrite的功能橋接兩個網段

» tcpliveplay：以伺服器識別的方式重放TCP pcap檔案

» tcpcapinfo：raw pcap檔案解碼器和偵錯程式

下面只簡單介紹使用tcpreplay重放syslog UDP報文

1、先使用tcpdump抓取一段syslog的報文

tcpdump -i eth0 -s 0 -v -w syslog.pcap port 514

2、yum install tcpreplay

3、who 以及arp 命令檢視本機的IP地址192.168.60.106 MAC地址為74:d4:35:88:68:e6

然後利用tcprewire重寫目標IP地址和MAC地址

tcprewrite --infile=syslog.pcap --outfile=rsyslog_1.pcap --dstipmap=0.0.0.0/0:192.168.60.106 --enet-dmac=74:d4:35:88:68:e6

4、當然也可對源IP地址以及源MAC地址進行改寫

tcprewrite --infile=rsyslog_1.pcap --outfile=rsyslog_2.pcap --srcipmap=0.0.0.0/0:172.16.11.5 --enet-smac=00:11:32:12:33:8e

5、更新資料包的校驗和

tcprewrite --infile=rsyslog_2.pcap --outfile=rsyslogfinal.pcap --fixcsum

6、完成資料包重寫後，重放最終的資料包

tcpreplay -v -i eth0 -M 1000 rsyslogfinal.pcap

上圖Kiwi Syslog Server中可以看到重放到本機192.168.60.106的syslog報文，說明重放成功