wireshark本身并不能修改數據包，但是tcprewrite 可以修改數據包，然后通過tcpreplay 進行重放，這個時候wireshark抓的包，就是被篡改后的pcap包了。

ailx10

網絡安全優秀回答者

互聯網行業 安全攻防員

去咨詢

步驟一：安裝 libpcap-dev

sudo apt-get install libpcap-dev

步驟二：下載源代碼[1]，并編譯安裝?tcprewrite

./configure 
make
sudo make install

步驟三：準備pcap包，以訪問知乎的pcap包為例，記住篡改前的信息

• 源地址：192.168.0.108
• 目的地址：103.41.167.234

步驟四：跟著ailx10，開干

修改pcap包的源IP地址，從192.168.0.108改成1.1.1.1

tcprewrite --srcipmap=192.168.0.108:1.1.1.1 -i ../zhihu.pcap -o ../zhihu2.pcap

修改pcap包的目的IP地址，從103.41.167.234改成2.2.2.2

tcprewrite --dstipmap=103.41.167.234:2.2.2.2 -i ../zhihu2.pcap -o ../zhihu2.pcap

步驟五：見證奇跡

如果你想將整個數據包里的源IP地址和目的IP地址內容都替換掉

• 所有的 220.181.107.131 替換成 3.3.3.3
• 所有的 192.168.0.108 替換成 4.4.4.4

替換前

一條命令，直接替換：

tcprewrite --srcipmap=220.181.107.131:3.3.3.3,192.168.0.108:4.4.4.4 --dstipmap=220.181.107.131:3.3.3.3,192.168.0.108:4.4.4.4 -i ../tcp.pcap -o ../tcp2.pcap

參考

1. ^tcpreplay?Releases · appneta/tcpreplay · GitHub