Atom
在 Maltrail 上回放封包

在 Maltrail 上回放封包

2025年09月29日 409 字 大概 1 分鐘

每次要回放封包時都會忘記指令,所以寫成文章記在這邊。

前置準備

需要先有準備以下環境與檔案:

  • 安裝好 Python 3 的 Linux 環境
  • 安裝完成的 Maltrail
  • 一個或多個 .pcap 封包擷取檔

單一封包回放指令

Maltrail 本身提供 --pcap 參數,可讓我們將 PCAP 封包導入 sensor.py 進行離線分析。

1
sudo python3 sensor.py --pcap /path/to/capture.pcap

執行後你會看到類似以下訊息:
using '/var/log/maltrail' for log storage
running...
cleaning up...
多個封包批次回放:使用 for 迴圈
如果你有大量封包需要回放,可以使用 bash 腳本批次處理:

1
2
3
4
5
6
7
8
9
10
11
12
13
#!/bin/bash

PCAP_DIR="/path/to/pcap"
MALTRAIL_DIR="/path/to/maltrail"

cd "$MALTRAIL_DIR" || exit

for file in "$PCAP_DIR"/*.pcap; do
    echo "[*] 分析中:$file"
    sudo python3 sensor.py --pcap "$file"
    echo "[+] 完成:$file"
    echo
done

儲存為 replay_pcap.sh 並執行:

1
2
chmod +x replay_pcap.sh
./replay_pcap.sh

或是不寫成腳本,直接執行

1
2
3
4
for file in 封包路徑; do
echo "Processing: $file"
sudo python3 sensor.py -r "$file"
done

若你的封包為 .pcapng 格式,可使用 editcap 轉檔:

1
editcap input.pcapng output.pcap

分析結果位置

Maltrail 預設會將分析結果記錄在:

1
/var/log/maltrail/YYYY-MM-DD.log

要是回放中斷了可以下指令檢查最後讀到的檔案:

1
ls -ltu 封包路徑 | head -n 5

留言區從原本需要登入github才能留言的方式改成使用 Twikoo 不須登入即可留言
如果你要匿名的話姓名、郵箱、網址可以隨便打沒關係
留QQ郵箱的話可以自動偵測郵箱頭像
有想多交流的話可以留網址我看到會過去逛逛

本文作者:Atom
本文鏈接:https://d0ngd.github.io/2025/09/29/使用Maltrail回放封包/
版權聲明:本文採用 CC BY-NC-SA 3.0 CN 協議進行許可
工具使用