核心功能
线速回放、5元组修改、流量倍增
10Gbps线速回放
基于DPDK多核TX引擎,实现10Gbps线速PCAP回放。按流哈希分发至多个核心,确保流内包序。具备向40/100Gbps演进的架构基础。
5元组修改引擎
通过重写src_ip/dst_ip/src_port/dst_port,将单个PCAP中的原始流放大为数万条虚拟并发流。每个字段支持range/random/fixed/original/increment五种策略。
流量倍增
100条原始流 × 500倍放大 = 50,000条虚拟并发流。保持L7 payload不变,仅修改L3/L4头部,生成真实的多客户端访问流量。
多PCAP混合回放
同时加载HTTP、DNS、SSH、视频流等不同协议的PCAP文件,混合回放模拟真实网络的多协议流量特征。
双回放模式
原始时序模式:保持PCAP中的包间隔,支持倍速回放(2x/4x/10x);速率限制模式:忽略原始时序,以指定速率(如8Gbps)均匀发送。
智能PCAP加载
小文件(≤50%可用hugepage)全量预载到DPDK mbuf池,零拷贝克隆;大文件双缓冲流式读取,无I/O阻塞。
循环回放
可配置循环次数(0=无限),可选每轮重新随机化5元组映射,持续生成不重复的流量模式。
高精度时序
基于rte_rdtsc()硬件时间戳,不依赖系统时钟。放大副本添加随机微偏移(数十μs)避免突发同步。
实时统计
实时报告当前PPS/Mbps、已发送总包数/字节数、活跃流数、已完成循环数、错误计数等关键指标。
技术规格
| 回放性能 | 10Gbps线速(单10GbE端口),具备40/100G架构演进能力 |
| 5元组修改 | src_ip / dst_ip / src_port / dst_port 独立可配 |
| 映射策略 | range / random / fixed / original / increment |
| 流放大倍数 | 单PCAP最大放大倍数无硬性限制,典型500-1000倍 |
| 虚拟并发流 | 50,000+(取决于原始流数和放大倍数) |
| L7保持 | 不修改L7 payload,仅重写L3/L4头部 |
| 回放模式 | 原始时序(支持倍速)/ 速率限制(Token Bucket) |
| PCAP加载 | 小文件全量预载 / 大文件双缓冲流式 |
| 校验和 | 优先使用网卡硬件校验和卸载 |
| 循环回放 | 可配置次数,支持每轮重新随机化 |
| TX批次 | 32-64 packets/burst |
| API接口 | RESTful API(Crow框架) |
应用场景
IDS/IPS性能测试
将真实攻击流量PCAP放大到万级并发流,以线速回放通过IDS/IPS设备,测试其在大流量下的检测率和漏报率。
NDR/流量审计设备测试
混合回放HTTP/DNS/SSH/TLS等多协议PCAP,验证流量分析设备的协议识别准确率和深度解析能力。
DPI引擎验证
使用已知协议的PCAP文件回放,验证DPI引擎的协议识别正确率,测试边界条件和异常报文处理。
安全设备压力测试
以10Gbps线速回放包含大量并发流的流量,测试安全设备(防火墙/WAF/Anti-DDoS)在极端负载下的稳定性。
真实流量场景复现
将生产环境抓包的PCAP在实验室中回放,复现网络故障或安全事件场景,辅助问题排查和取证分析。
网络取证工具测试
回放已知内容的PCAP验证取证工具的文件还原准确性、会话重组完整性和时间线还原精度。
产品对比
与主流PCAP回放工具对比
| 功能特性 | 流量重生 | tcpreplay (开源) | Spirent回放模块 |
|---|---|---|---|
| 回放性能 | 10Gbps线速 | 约1-3Gbps | 100Gbps |
| 5元组修改 | 基础 | ||
| 流量倍增 | 50,000+虚拟流 | ||
| 多PCAP混合 | |||
| 原始时序保持 | |||
| 速率控制 | 有限 | ||
| 循环回放 | |||
| REST API | |||
| L7保持 | |||
| 国产自主可控 | 开源 | ||
| 参考价格 | 极具竞争力 | 免费 | $50,000+ |