Wireshark可以用来改变数据包的内容吗

Question

Wireshark似乎无法实时更改过滤数据包的内容。

有谁知道类似的软件可以更改被过滤的数据包内容。

找到这样的东西真的会救你一命，

谢谢。

Answer 1

至少在 Unices 等使用原始套接字的地方，这是不可能的，因为数据包被复制到用户空间，而您只能处理该副本。此外，通过原始套接字发送回数据包可以被视为“传出”数据包，因此实际上它不会被重新注入到它应该在的输入路径。根据 Linux 手册页，原始套接字旨在实现新协议，IOW，原始套接字是“端点”，而不是“直通站”。

对于输入路径中的数据包修改（类似直通），每个操作系统都有自己的一组接口。在 Linux 中（您不太明确您的目标），这将是 nfqueue 机制，可通过 libnetfilter_queue 使用。当然，如果wireshark愿意的话（我上次检查时没有看到它进行数据包更改），它就会这样做。

Answer 2

请尝试Burp Suite。它包括一个中继器，可让您修改 HTTP 请求。

Answer 3

没有wireshark 不会让您更改数据包的内容并将它们放回到线路上。然而，有一些方法可以在数据包通过机器时对其进行更改。通常，主机设置有两个桥接在一起的网卡。一个网卡连接到一个网络，另一个网卡连接到另一个网络。然后，当数据包通过此点时，主机可以看到它们。现在您可以使用 iptables/netfilter 并编写一个更改数据包中数据的模块。例如，您可以编写一些可以重新映射源 IP 地址的内容。我已经有一段时间没有使用 netfilter/iptables 了，所以我无法提供更多细节，但我在之前的工作中使用过它，在数据包飞行时对它们进行一些巧妙的处理。但这确实意味着您需要一台位于网络连接点的主机。

Answer 4

该文档表明 node.get("nextSibling") 和 node.get("previousSibling") 就是您所需要的。

Answer 5

是的，可以。

在构建之前，您需要将此选项传递给配置脚本：
--启用数据包编辑器