深入解析flare-fakenet-ng网络流量捕获中的协议封装问题

在网络安全研究和恶意软件分析领域，flare-fakenet-ng是一个功能强大的网络流量模拟工具。它能够模拟各种网络服务，帮助研究人员分析恶意软件的网络行为。然而，在实际使用过程中，我们发现该工具生成的pcap文件在协议封装方面存在一个值得注意的技术细节。

问题背景

flare-fakenet-ng默认生成的pcap文件中，每个数据帧(frame)的第一个协议被标记为"raw:"。这种封装方式在Wireshark等主流网络分析工具中能够正常解析，但某些专用的内部pcap解析软件可能无法正确处理这种格式，要求将"raw:"修改为更常见的"eth:ethertype:"格式。

协议封装差异分析

通过对比实验，我们可以观察到两种不同封装方式的显著差异：

原始fakenet-ng生成的格式：

Frame...
    Encapsulation type: Raw IP (7)
    [Protocols in frame: raw:ip:tcp:tls]
Raw packet data
IPV4...
TCP...
TLS...

标准以太网捕获的格式：

Frame...
    Encapsulation type: Ethernet (1)
    [Protocols in frame: eth:ethertype:ip:tcp:tls]
Ethernet II...
IPV4...
TCP...
TLS...

技术解决方案探索

最初尝试通过修改fakenet-ng源代码中的diverterbase.py文件，移除linktype=dpkt.pcap.DLT_RAW参数，让dpkt.pcap.Writer使用默认的dpkt.pcap.DLT_EN10MB值。然而，这种方法虽然改变了封装类型，但生成的协议栈变为eth:ethertype:data，仍然不符合预期。

最终解决方案是使用Scapy工具进行后处理转换，这种方法更加灵活可靠：

from scapy.utils import rdpcap, wrpcap
from scapy.layers.l2 import Ether

# 读取原始pcap文件
packets = rdpcap('/path/to/src/pcap')

# 创建以太网头部
eth_ipv4 = Ether(src="00:11:22:33:44:55", dst="aa:bb:cc:dd:ee:ff", type=0x0800)

# 转换每个数据包
converted_packets = [eth_ipv4 / pkt.getlayer(0) for pkt in packets]

# 写入新的pcap文件
wrpcap('/path/to/dst/pcap', converted_packets, linktype=1)

技术原理深入

1. 封装类型差异：

   • DLT_RAW(类型7)表示原始IP数据包，不包含数据链路层信息
   • DLT_EN10MB(类型1)表示标准以太网帧，包含完整的二层头部

2. Scapy转换过程：

   • 为每个原始IP数据包添加以太网头部
   • 设置以太网类型为0x0800(IPv4)
   • 保留原始IP数据包的所有内容
   • 指定输出文件的链路层类型为以太网

实际应用建议

对于需要分析flare-fakenet-ng生成流量的研究人员，建议：

1. 如果目标分析工具支持DLT_RAW格式，可以直接使用原始文件
2. 对于严格要求以太网封装的工具，采用上述Scapy转换方案
3. 转换时可以自定义源/目的MAC地址以满足特定分析需求
4. 注意转换后的文件大小会略有增加(每个包增加14字节以太网头部)

这种协议封装转换技术在网络流量分析、恶意软件行为研究等领域具有实用价值，能够确保分析工具正确解析捕获的网络数据，为安全研究人员提供更准确的分析基础。