flowtop: Redraw screen in 1s if no key was pressed
[netsniff-ng.git] / mausezahn.8
blobd6b70653cb28c7f17115e5de128d5b18c8110cdd
1 .\" netsniff-ng - the packet sniffing beast
2 .\" Copyright 2013 Herbert Haas, modified by Daniel Borkmann.
3 .\" Subject to the GPL, version 2.
4 .TH MAUSEZAHN 8 "03 March 2013" "Linux" "netsniff-ng toolkit"
5 .SH NAME
6 mausezahn \- a fast versatile packet generator with Cisco-cli
7 .PP
8 .SH SYNOPSIS
9 .PP
10 \fBmausezahn\fR { [\fIoptions\fR] "<arg-string> | <hex-string>" }
11 .PP
12 .SH DESCRIPTION
13 .PP
14 mausezahn is a fast traffic generator which allows you to send nearly every
15 possible and impossible packet. In contrast to trafgen(8), mausezahn's packet
16 configuration is on a protocol-level instead of byte-level and mausezahn also
17 comes with a built-in Cisco-like command-line interface, making it suitable
18 as a network traffic generator box in your network lab.
19 .PP
20 Next to network labs, it can also be used as a didactical tool and for security
21 audits including penetration and DoS testing. As a traffic generator, mausezahn
22 is also able to test IP multicast or VoIP networks. Packet rates close to the
23 physical limit are reachable, depending on the hardware platform.
24 .PP
25 mausezahn supports two modes, ''direct mode'' and a multi-threaded ''interactive
26 mode''.
27 .PP
28 The ''direct mode'' allows you to create a packet directly on the command line
29 and every packet parameter is specified in the argument list when calling
30 mausezahn.
31 .PP
32 The ''interactive mode'' is an advanced multi-threaded configuration mode with
33 its own command line interface (CLI). This mode allows you to create an arbitrary
34 number of packet types and streams in parallel, each with different parameters.
35 .PP
36 The interactive mode utilizes a completely redesigned and more flexible protocol
37 framework called ''mops'' (mausezahn's own packet system). The look and feel of
38 the CLI is very close to the Cisco IOS^tm command line interface.
39 .PP
40 You can start the interactive mode by executing mausezahn with the ''\-x''
41 argument (an optional port number may follow, otherwise it is 25542). Then use
42 telnet(1) to connect to this mausezahn instance. If not otherwise specified,
43 the default login and password combination is mz:mz and the enable password is: mops.
44 This can be changed in /etc/netsniff-ng/mausezahn.conf.
45 .PP
46 The direct mode supports two specification schemes: The ''raw-layer-2'' scheme,
47 where every single byte to be sent can be specified, and ''higher-layer'' scheme,
48 where packet builder interfaces are used (using the ''\-t'' option).
49 .PP
50 To use the ''raw-layer-2'' scheme, simply specify the desired frame as a
51 hexadecimal sequence (the ''hex-string''), such as:
52 .PP
53   mausezahn eth0 "00:ab:cd:ef:00 00:00:00:00:00:01 08:00 ca:fe:ba:be"
54 .PP
55 In this example, whitespaces within the byte string are optional and separate
56 the Ethernet fields (destination and source address, type field, and a short
57 payload). The only additional options supported are ''\-a'', ''\-b'', ''\-c'',
58 and ''\-p''. The frame length must be greater than or equal to 15 bytes.
59 .PP
60 The ''higher-layer'' scheme is enabled using the ''\-t <packet-type>'' option.
61 This option activates a packet builder, and besides the ''packet-type'', an
62 optional ''arg-string'' can be specified. The ''arg-string'' contains packet-
63 specific parameters, such as TCP flags, port numbers, etc. (see example section).
64 .PP
65 .SH OPTIONS
66 .PP
67 mausezahn provides a built-in context-specific help. Append the keyword
68  ''help'' after the configuration options. The most important options
69 are:
70 .PP
71 .SS -x [<port>]
72 Start mausezahn in interactive mode with a Cisco-like CLI. Use telnet to log
73 into the local mausezahn instance. If no port has been specified, port 25542
74 is used by default.
75 .PP
76 .SS -l <IP>
77 Specify the IP address mausezahn should bind to when in interactive mode, default: 0.0.0.0.
78 .PP
79 .SS -v
80 Verbose mode. Capital \-V is even more verbose.
81 .PP
82 .SS -S
83 Simulation mode, i.e. don't put anything on the wire. This is typically combined
84 with the verbose mode.
85 .PP
86 .SS -q
87 Quiet mode where only warnings and errors are displayed.
88 .PP
89 .SS -c <count>
90 Send the packet count times (default: 1, infinite: 0).
91 .PP
92 .SS -d <delay>
93 Apply delay between transmissions. The delay value can be specified in usec
94 (default, no additional unit needed), or in msec (e.g. 100m or 100msec), or
95 in seconds (e.g. 100s or 100sec). Note: mops also supports nanosecond delay
96 resolution if you need it (see interactive mode).
97 .PP
98 .SS -p <length>
99 Pad the raw frame to specified length using zero bytes. Note that for raw
100 layer 2 frames the specified length defines the whole frame length, while for
101 higher layer packets the number of additional padding bytes are specified.
103 .SS -a <src-mac|keyword>
104 Use specified source MAC address with hexadecimal notation such as 00:00:aa:bb:cc:dd.
105 By default the interface MAC address will be used. The keywords ''rand'' and
106 ''own'' refer to a random MAC address (only unicast addresses are created)
107 and the own address, respectively. You can also use the keywords mentioned
108 below although broadcast-type source addresses are officially invalid.
110 .SS -b <dst-mac|keyword>
111 Use specified destination MAC address. By default, a broadcast is sent in raw
112 layer 2 mode or to the destination hosts or gateway interface MAC address in normal
113 (IP) mode. You can use the same keywords as mentioned above, as well as
114 ''bc'' or ''bcast'', ''cisco'', and ''stp''. Please note that for the destination
115 MAC address the ''rand'' keyword is supported but creates a random address only
116 once, even when you send multiple packets.
118 .SS -A <src-ip|range|rand>
119 Use specified source IP address, default is own interface address. Optionally, the
120 keyword ''rand'' can again be used for a random source IP address or a range
121 can be specified, such as ''192.168.1.1-192.168.1.100'' or ''10.1.0.0/16''.
122 Also, a DNS name can be specified for which mausezahn tries to determine the
123 corresponding IP address automatically.
125 .SS -B <dst-ip|range>
126 Use specified destination IP address (default is broadcast i.e. 255.255.255.255).
127 As with the source address (see above) you can also specify a range or a DNS name.
129 .SS -t <packet-type [help] | help>
130 Create the specified packet type using the built-in packet builder. Currently,
131 supported packet types are: ''arp'', ''bpdu'', ''ip'', ''udp'', ''tcp'', ''rtp'',
132 and ''dns''. Currently, there is also limited support for ''icmp''. Type
133 ''\-t help'' to verify which packet builders your actual mausezahn version
134 supports. Also, for any particular packet type, for example ''tcp'' type
135  ''mausezahn \-t tcp help'' to receive a more in-depth context specific help.
137 .SS -T <packet-type>
138 Make this mausezahn instance the receiving station. Currently, only ''rtp'' is
139 an option here and provides precise jitter measurements. For this purpose, start
140 another mausezahn instance on the sending station and the local receiving station
141 will output jitter statistics. See ''mausezahn \-T rtp help'' for a detailed help.
143 .SS -Q <[CoS:]vlan> [, <[CoS:]vlan>, ...]
144 Specify 802.1Q VLAN tag and optional Class of Service. An arbitrary number of
145 VLAN tags can be specified (that is, you can simulate QinQ or even QinQinQinQ..).
146 Multiple tags must be separated via a comma or a period (e.g. "5:10,20,2:30").
147 VLAN tags are not supported for ARP and BPDU packets (in which case you could
148 specify the whole frame in hexadecimal using the raw layer 2 interface of mausezahn).
150 .SS -M <label[:cos[:ttl]][bos]> [, <label...>]
151 Specify a MPLS label or even a MPLS label stack. Optionally, for each label the
152 experimental bits (usually the Class of Service, CoS) and the Time To Live
153 (TTL) can be specified. If you are really crazy you can set and unset the
154 Bottom of Stack (BoS) bit for each label using the ''S'' (set) and ''s''
155 (unset) option. By default, the BoS is set automatically and correctly. Any other
156 setting will lead to invalid frames. Enter ''\-M help'' for detailed instructions
157 and examples.
159 .SS -P <ascii-payload>
160 Specify a cleartext payload. Alternatively, each packet type supports a
161 hexadecimal specification of the payload (see for example ''\-t udp help'').
163 .SS -f <filename>
164 Read the ASCII payload from the specified file.
166 .SS -F <filename>
167 Read the hexadecimal payload from the specified file. Actually, this file must be also
168 an ASCII text file, but must contain hexadecimal digits, e.g. "aa:bb:cc:0f:e6...".
169 You can use also spaces as separation characters.
171 .SH USAGE EXAMPLE
173 For more comprehensive examples, have a look at the two following HOWTO sections.
175 .SS mausezahn eth0 \-c 0 \-d 2s \-t bpdu vlan=5
176 Send BPDU frames for VLAN 5 as used with Cisco's PVST+ type of STP. By default
177 mausezahn assumes that you want to become the root bridge.
179 .SS mausezahn eth0 \-c 128000 \-a rand \-p 64
180 Perform a CAM table overflow attack.
182 .SS mausezahn eth0 \-c 0 \-Q 5,100 \-t tcp "flags=syn,dp=1-1023" \-p 20 \-A rand \-B 10.100.100.0/24
183 Perform a SYN flood attack to another VLAN using VLAN hopping. This only works
184 if you are connected to the same VLAN which is configured as native VLAN on the
185 trunk. We assume that the victim VLAN is VLAN 100 and the native VLAN is VLAN 5.
186 Lets attack every host in VLAN 100 which use an IP prefix of 10.100.100.0/24, also
187 try out all ports between 1 and 1023 and use a random source IP address.
189 .SS mausezahn eth0 \-c 0 \-d 10msec \-B 230.1.1.1 \-t udp "dp=32000,dscp=46" \-P "Multicast test packet"
190 Send IP multicast packets to the multicast group 230.1.1.1 using a UDP header
191 with destination port 32000 and set the IP DSCP field to EF (46). Send one
192 frame every 10 msec.
194 .SS mausezahn eth0 \-Q 6:420 \-M 100,200,300:5 \-A 172.30.0.0/16 \-B target.anynetwork.foo \-t udp "sp=666,dp=1-65535" \-p 1000 \-c 10
195 Send UDP packets to the destination host target.anynetwork.foo using all
196 possible destination ports and send every packet with all possible source
197 addresses of the range 172.30.0.0/16; additionally use a source port of 666
198 and three MPLS labels, 100, 200, and 300, the outer (300) with QoS field 5.
199 Send the frame with a VLAN tag 420 and CoS 6; eventually pad with 1000 bytes
200 and repeat the whole thing 10 times.
202 .SS mausezahn \-t syslog sev=3 \-P "Main reactor reached critical temperature." \-A 192.168.33.42 \-B 10.1.1.9 \-c 6 \-d 10s
203 Send six forged syslog messages with severity 3 to a Syslog server 10.1.1.9; use
204 a forged source IP address 192.168.33.42 and let mausezahn decide which local
205 interface to use. Use an inter-packet delay of 10 seconds.
207 .SS mausezahn \-t tcp "flags=syn|urg|rst, sp=145, dp=145, win=0, s=0-4294967295, ds=1500, urg=666" \-a bcast \-b bcast \-A bcast \-B 10.1.1.6 \-p 5
208 Send an invalid TCP packet with only a 5 byte payload as layer-2 broadcast and
209 also use the broadcast MAC address as source address. The target should be
210 10.1.1.6 but use a broadcast source address. The source and destination port
211 shall be 145 and the window size 0. Set the TCP flags SYN, URG, and RST
212 simultaneously and sweep through the whole TCP sequence number space with an
213 increment of 1500. Finally set the urgent pointer to 666, i.e. pointing to
214 nowhere.
216 .SH CONFIGURATION FILE
218 When mausezahn is run in interactive mode it automatically looks for and reads
219 a configuration file located at /etc/netsniff-ng/mausezahn.conf for custom options
220 if the file is available, otherwise it uses defaults set at compile time.
221 .SS Config file: /etc/netsniff-ng/mausezahn.conf
223 The configuration file contains lines of the form:
225         option = value
227 Options supported in the configuration file are:
228    Option:              Description:
230    user                 Username for authentication (default: mz)
231    password             Password for authentication (default: mz)
232    enable                    Password to enter privilege mode (default: mops)
233    port                 The listening port for the CLI (default: 25542)
234    listen-addr          IP address to bind CLI to (default: 0.0.0.0)
235    management-only      Set management interface (no data traffic is allowed to pass through)
236    cli-device           Interface to bind CLI to (default: all) *not fully implemented*
237    automops         Path to automops file (contains XML data describing protocols) *in development*
239 .SS Example:
241  $ cat /etc/netsniff-ng/mausezahn.conf
242  user = mzadmin
243  password = mzpasswd
244  enable = privilege-mode-passwd
245  port = 65000
246  listen-addr = 127.0.0.1
248 .SH INTERACTIVE MODE HOWTO
250 .SS Telnet:
252 Using the interactive mode requires starting mausezahn as a server:
254   # mausezahn \-x
256 Now you can telnet(1) to that server using the default port number 25542, but also
257 an arbitrary port number can be specified:
259   # mausezahn \-x 99
260   mausezahn accepts incoming telnet connections on port 99.
261   mz: Problems opening config file. Will use defaults
264 Either from another terminal or from another host try to telnet to the
265 mausezahn server:
267   caprica$ telnet galactica 99
268   Trying 192.168.0.4...
269   Connected to galactica.
270   Escape character is '^]'.
271   mausezahn <version>
273   Username: mz
274   Password: mz
276   mz> enable
277   Password: mops
278   mz#
280 It is recommended to configure your own login credentials in
281 /etc/netsniff-ng/mausezahn.conf, (see configuration file section)
282 .SS Basics:
284 Since you reached the mausezahn prompt, lets try some common commands. You can
285 use the '?' character at any time for context-specific help. Note that Cisco-like
286 short form of commands are accepted in interactive mode. For example, one
287 can use "sh pac" instead of "show packet"; another common example is to use
288 "config t" in place of "configure terminal". For readability, this manual will
289 continue with the full commands.
291 First try out the show command:
293   mz# show ?
295 mausezahn maintains its own ARP table and observes anomalies. There is an entry
296 for every physical interface (however this host has only one):
298   mz# show arp
299   Intf    Index     IP address     MAC address       last       Ch  UCast BCast Info
300   ----------------------------------------------------------------------------------
301   eth0    [1] D     192.168.0.1  00:09:5b:9a:15:84  23:44:41     1     1     0  0000
303 The column Ch tells us that the announced MAC address has only changed one time
304 (= when it was learned). The columns Ucast and BCast tell us how often this
305 entry was announced via unicast or broadcast respectively.
307 Let's check our interfaces:
309   mz# show interface
310   Available network interfaces:
311                  real             real                  used (fake)      used (fake)
312    device        IPv4 address     MAC address           IPv4 address     MAC address
313   ---------------------------------------------------------------------------------------
314   > eth0         192.168.0.4      00:30:05:76:2e:8d     192.168.0.4      00:30:05:76:2e:8d
315     lo           127.0.0.1        00:00:00:00:00:00     127.0.0.1        00:00:00:00:00:00
316   2 interfaces found.
317   Default interface is eth0.
319 .SS Defining packets:
321 Let's check the current packet list:
323   mz# show packet
324   Packet layer flags: E=Ethernet, S=SNAP, Q=802.1Q, M=MPLS, I/i=IP/delivery_off, U=UDP, T=TCP
325   PktID  PktName           Layers  Proto    Size  State      Device      Delay       Count/CntX
326       1  sysARP_servic...  E-----  ARP        60  config     lo          100 msec        1/0 (100%)
327   1 packets defined, 0 active.
329 We notice that there is already one system-defined packet process; it has been
330 created and used only once (during startup) by mausezahn's ARP service.
331 Currently, its state is config which means that the process is sleeping.
333 .SS General packet options:
335 Now let's create our own packet process and switch into the global
336 configuration mode:
338   mz# configure terminal
339   mz(config)# packet
340   Allocated new packet PKT0002 at slot 2
341   mz(config-pkt-2)# ?
342   ...
343   name                 Assign a unique name
344   description          Assign a packet description text
345   bind                 Select the network interface
346   count                Configure the packet count value
347   delay                Configure the inter-packet delay
348   interval             Configure a greater interval
349   type                 Specify packet type
350   mac                  Configure packet's MAC addresses
351   tag                  Configure tags
352   payload              Configure a payload
353   port                 Configure packet's port numbers
354   end                  End packet configuration mode
355   ethernet             Configure frame's Ethernet, 802.2, 802.3, or SNAP settings
356   ip                   Configure packet's IP settings
357   udp                  Configure packet's UDP header parameters
358   tcp                  Configure packet's TCP header parameters
360 Here are a lot of options but normally you only need a few of them. When you
361 configure lots of different packets you might assign a reasonable name and
362 description for them:
364   mz(config-pkt-2)# name Test
365   mz(config-pkt-2)# description This is just a test
367 You can, for example, change the default settings for the source and destination MAC or IP
368 addresses using the mac and ip commands:
370   mz(config-pkt-2)# ip address destination 10.1.1.0 /24
371   mz(config-pkt-2)# ip address source random
373 In the example above, we configured a range of addresses (all hosts in the
374 network 10.1.1.0 should be addressed). Additionally we spoof our source IP
375 address. Of course, we can also add one or more VLAN and, or, MPLS tag(s):
377   mz(config-pkt-2)# tag ?
378   dot1q                Configure 802.1Q (and 802.1P) parameters
379   mpls                 Configure MPLS label stack
380   mz(config-pkt-2)# tag dot ?
381   Configure 802.1Q tags:
382   VLAN[:CoS] [VLAN[:CoS]] ...   The leftmost tag is the outer tag in the frame
383   remove <tag-nr> | all         Remove one or more tags (<tag-nr> starts with 1),
384                                 by default the first (=leftmost,outer) tag is removed,
385                                 keyword 'all' can be used instead of tag numbers.
386   cfi | nocfi [<tag-nr>]        Set or unset the CFI-bit in any tag (by default
387                                 assuming the first tag).
388   mz(config-pkt-2)# tag dot 1:7 200:5
390 .SS Configure count and delay:
392   mz(config-pkt-2)# count 1000
393   mz(config-pkt-2)# delay ?
394   delay <value> [hour | min | sec | msec | usec | nsec]
396 Specify the inter-packet delay in hours, minutes, seconds, milliseconds,
397 microseconds or nanoseconds. The default unit is milliseconds (i.e. when no
398 unit is given).
400   mz(config-pkt-2)# delay 1 msec
401   Inter-packet delay set to 0 sec and 1000000 nsec
402   mz(config-pkt-2)#
404 .SS Configuring protocol types:
406 mausezahn's interactive mode supports a growing list of protocols and only
407 relies on the MOPS architecture (and not on libnet as is the case with
408 the legacy direct mode):
410   mz(config-pkt-2)# type
411   Specify a packet type from the following list:
412   arp
413   bpdu
414   igmp
415   ip
416   lldp
417   tcp
418   udp
419   mz(config-pkt-2)# type tcp
420   mz(config-pkt-2-tcp)#
421   ....
422   seqnr                Configure the TCP sequence number
423   acknr                Configure the TCP acknowledgement number
424   hlen                 Configure the TCP header length
425   reserved             Configure the TCP reserved field
426   flags                Configure a combination of TCP flags at once
427   cwr                  Set or unset the TCP CWR flag
428   ece                  Set or unset the TCP ECE flag
429   urg                  Set or unset the TCP URG flag
430   ack                  set or unset the TCP ACK flag
431   psh                  set or unset the TCP PSH flag
432   rst                  set or unset the TCP RST flag
433   syn                  set or unset the TCP SYN flag
434   fin                  set or unset the TCP FIN flag
435   window               Configure the TCP window size
436   checksum             Configure the TCP checksum
437   urgent-pointer       Configure the TCP urgent pointer
438   options              Configure TCP options
439   end                  End TCP configuration mode
440   mz(config-pkt-2-tcp)# flags syn fin rst
441   Current setting is: --------------------RST-SYN-FIN
442   mz(config-pkt-2-tcp)# end
443   mz(config-pkt-2)# payload ascii This is a dummy payload for my first packet
444   mz(config-pkt-2)# end
446 Now configure another packet, for example let's assume we want an LLDP process:
448   mz(config)# packet
449   Allocated new packet PKT0003 at slot 3
450   mz(config-pkt-3)# type lldp
451   mz(config-pkt-3-lldp)# exit
452   mz(config)# exit
454 In the above example we only use the default LLDP settings and don't configure
455 further LLDP options or TLVs. Back in the top level of the CLI let's verify
456 what we had done:
458   mz# show packet
459   Packet layer flags: E=Ethernet, S=SNAP, Q=802.1Q, M=MPLS, I/i=IP/delivery_off, U=UDP, T=TCP
460   PktID  PktName            Layers  Proto    Size  State      Device   Delay      Count/CntX
461      1   sysARP_servic...   E-----  ARP        60  config     lo       100 msec       1/0 (100%)
462      2   Test               E-Q-IT            125  config     eth0    1000 usec    1000/1000 (0%)
463      3   PKT0003            E-----  LLDP       36  config     eth0      30 sec        0/0 (0%)
464   3 packets defined, 0 active.
466 The column Layers indicates which major protocols have been combined. For
467 example the packet with packet-id 2 ("Test") utilizes Ethernet (E),
468 IP (I), and TCP (T). Additionally an 802.1Q tag (Q) has been inserted. Now
469 start one of these packet processes:
471   mz# start slot 3
472   Activate [3]
473   mz# show packet
474   Packet layer flags: E=Ethernet, S=SNAP, Q=802.1Q, M=MPLS, I/i=IP/delivery_off, U=UDP, T=TCP
475   PktID  PktName            Layers  Proto    Size  State      Device   Delay      Count/CntX
476      1   sysARP_servic...   E-----  ARP        60  config     lo       100 msec       1/0 (100%)
477      2   Test               E-Q-IT            125  config     eth0    1000 usec    1000/1000 (0%)
478      3   PKT0003            E-----  LLDP       36  config     eth0      30 sec        0/1 (0%)
479   3 packets defined, 1 active.
481 Let's have a more detailed look at a specific packet process:
483   mz# show packet 2
484   Packet [2] Test
485   Description: This is just a test
486   State: config, Count=1000, delay=1000 usec (0 s 1000000 nsec), interval= (undefined)
487   Headers:
488    Ethernet: 00-30-05-76-2e-8d => ff-ff-ff-ff-ff-ff  [0800 after 802.1Q tag]
489    Auto-delivery is ON (that is, the actual MAC is adapted upon transmission)
490    802.1Q: 0 tag(s);  (VLAN:CoS)
491    IP:  SA=192.168.0.4 (not random) (no range)
492         DA=255.255.255.255 (no range)
493         ToS=0x00  proto=17  TTL=255  ID=0  offset=0  flags: -|-|-
494         len=49664(correct)  checksum=0x2e8d(correct)
495    TCP: 83 bytes segment size (including TCP header)
496         SP=0 (norange) (not random), DP=0 (norange) (not random)
497         SQNR=3405691582 (start 0, stop 4294967295, delta 0) -- ACKNR=0 (invalid)
498         Flags: ------------------------SYN----, reserved field is 00, urgent pointer= 0
499         Announced window size= 100
500         Offset= 0 (times 32 bit; value is valid), checksum= ffff (valid)
501         (No TCP options attached) - 0 bytes defined
502    Payload size: 43 bytes
503    Frame size: 125 bytes
504     1  ff:ff:ff:ff:ff:ff:00:30  05:76:2e:8d:81:00:e0:01  81:00:a0:c8:08:00:45:00  00:67:00:00:00:00:ff:06
505    33  fa:e4:c0:a8:00:04:ff:ff  ff:ff:00:00:00:00:ca:fe  ba:be:00:00:00:00:a0:07  00:64:f7:ab:00:00:02:04
506    65  05:ac:04:02:08:0a:19:35  90:c3:00:00:00:00:01:03  03:05:54:68:69:73:20:69  73:20:61:20:64:75:6d:6d
507    97  79:20:70:61:79:6c:6f:61  64:20:66:6f:72:20:6d:79  20:66:69:72:73:74:20:70  61:63:6b:65:74
508   mz#
510 If you want to stop one or more packet processes, use the stop command. The
511 "emergency stop" is when you use stop all:
513   mz# stop all
514   Stopping
515   [3] PKT0003
516   Stopped 1 transmission processe(s)
518 The launch command provides a shortcut for commonly used packet processes. For
519 example to behave like a STP-capable bridge we want to start an BPDU process
520 with typical parameters:
522   mz# launch bpdu
523   Allocated new packet sysBPDU at slot 5
524   mz# show packet
525   Packet layer flags: E=Ethernet, S=SNAP, Q=802.1Q, M=MPLS, I/i=IP/delivery_off, U=UDP, T=TCP
526   PktID  PktName           Layers  Proto    Size  State      Device      Delay       Count/CntX
527       1  sysARP_servic...  E-----  ARP        60  config     lo          100 msec        1/0 (100%)
528       2  Test              E-Q-IT            125  config     eth0       1000 usec     1000/1000 (0%)
529       3  PKT0003           E-----  LLDP       36  config     eth0          30 sec        0/12 (0%)
530       4  PKT0004           E---I-  IGMP       46  config     eth0        100 msec        0/0 (0%)
531       5  sysBPDU           ES----  BPDU       29  active     eth0           2 sec        0/1 (0%)
532   5 packets defined, 1 active.
534 Now a Configuration BPDU is sent every 2 seconds, claiming to be the root
535 bridge (and usually confusing the LAN. Note that only packet 5 (i.e. the
536 last row) is active and therefore sending packets while all other packets
537 are in state config (i.e. they have been configured but they are not doing
538 anything at the moment).
540 .SS Configuring a greater interval:
542 Sometimes you may want to send a burst of packets at a greater interval:
544   mz(config)# packet 2
545   Modify packet parameters for packet Test [2]
546   mz(config-pkt-2)# interval
547   Configure a greater packet interval in days, hours, minutes, or seconds
548   Arguments: <value>  <days | hours | minutes | seconds>
549   Use a zero value to disable an interval.
550   mz(config-pkt-2)# interval 1 hour
551   mz(config-pkt-2)# count 10
552   mz(config-pkt-2)# delay 15 usec
553   Inter-packet delay set to 0 sec and 15000 nsec
555 Now this packet is sent ten times with an inter-packet delay of 15 microseconds
556 and this is repeated every hour. When you look at the packet list, an interval
557 is indicated with the additional flag 'i' when inactive or 'I' when active:
559   mz# show packet
560   Packet layer flags: E=Ethernet, S=SNAP, Q=802.1Q, M=MPLS, I/i=IP/delivery_off, U=UDP, T=TCP
561   PktID  PktName           Layers  Proto    Size  State      Device      Delay       Count/CntX
562       1  sysARP_servic...  E-----  ARP        60  config     lo          100 msec        1/0 (100%)
563       2  Test              E-Q-IT            125  config-i   eth0         15 usec       10/10 (0%)
564       3  PKT0003           E-----  LLDP       36  config     eth0          30 sec        0/12 (0%)
565       4  PKT0004           E---I-  IGMP       46  config     eth0        100 msec        0/0 (0%)
566       5  sysBPDU           ES----  BPDU       29  active     eth0           2 sec        0/251 (0%)
567   5 packets defined, 1 active.
568   mz# start slot 2
569   Activate [2]
570   mz# show packet
571   Packet layer flags: E=Ethernet, S=SNAP, Q=802.1Q, M=MPLS, I/i=IP/delivery_off, U=UDP, T=TCP
572   PktID  PktName           Layers  Proto    Size  State      Device      Delay       Count/CntX
573       1  sysARP_servic...  E-----  ARP        60  config     lo          100 msec        1/0 (100%)
574       2  Test              E-Q-IT            125  config+I   eth0         15 usec       10/0 (100%)
575       3  PKT0003           E-----  LLDP       36  config     eth0          30 sec        0/12 (0%)
576       4  PKT0004           E---I-  IGMP       46  config     eth0        100 msec        0/0 (0%)
577       5  sysBPDU           ES----  BPDU       29  active     eth0           2 sec        0/256 (0%)
578   5 packets defined, 1 active.
580 Note that the flag 'I' indicates that an interval has been specified for
581 packet 2. The process is not active at the moment (only packet 5 is active
582 here) but it will become active at a regular interval. You can verify the
583 actual interval when viewing the packet details via the 'show packet 2' command.
585 .SS Load prepared configurations:
587 You can prepare packet configurations using the same commands as you would
588 type them in on the CLI and then load them to the CLI. For example, assume we
589 have prepared a file 'test.mops' containing:
591   configure terminal
592   packet
593   name IGMP_TEST
594   desc This is only a demonstration how to load a file to mops
595   type igmp
597 Then we can add this packet configuration to our packet list using the load
598 command:
600   mz# load test.mops
601   Read commands from test.mops...
602   Allocated new packet PKT0002 at slot 2
603   mz# show packet
604   Packet layer flags: E=Ethernet, S=SNAP, Q=802.1Q, M=MPLS, I/i=IP/delivery_off, U=UDP, T=TCP
605   PktID  PktName           Layers  Proto    Size  State      Device      Delay       Count/CntX
606       1  sysARP_servic...  E-----  ARP        60  config     lo          100 msec        1/0 (100%)
607       2  IGMP_TEST         E---I-  IGMP       46  config     eth0        100 msec        0/0 (0%)
608   2 packets defined, 0 active.
610 The file src/examples/mausezahn/example_lldp.conf contains another example
611 list of commands to create a bogus LLDP packet. You can load this
612 configuration from the mausezahn command line as follows:
614   mz# load /home/hh/tmp/example_lldp.conf
616 In case you copied the file in that path. Now when you enter 'show packet' you
617 will see a new packet entry in the packet list. Use the 'start slot <nr>'
618 command to activate this packet.
620 You can store your own packet creations in such a file and easily load them when
621 you need them. Every command within such configuration files is executed on the
622 command line interface as if you had typed it in -- so be careful about the
623 order and don't forget to use 'configure terminal' as first command.
625 You can even load other files from within a central config file.
627 .SH DIRECT MODE HOWTO
629 .SS How to specify hexadecimal digits:
631 Many arguments allow direct byte input. Bytes are represented as two
632 hexadecimal digits. Multiple bytes must be separated either by spaces, colons,
633 or dashes - whichever you prefer. The following byte strings are equivalent:
635   "aa:bb cc-dd-ee ff 01 02 03-04 05"
636   "aa bb cc dd ee ff:01:02:03:04 05"
638 To begin with, you may want to send an arbitrary fancy (possibly invalid)
639 frame right through your network card:
641   mausezahn ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:08:00:ca:fe:ba:be
643  or equivalent but more readable:
645   mausezahn ff:ff:ff:ff:ff:ff-ff:ff:ff:ff:ff:ff-08:00-ca:fe:ba:be
647 .SS Basic operations:
649 All major command line options are listed when you execute mausezahn without
650 arguments. For practical usage, keep the following special (not so widely
651 known) options in mind:
653   \-r                    Multiplies the specified delay with a random value.
654   \-p <length>           Pad the raw frame to specified length (using random bytes).
655   \-P <ASCII Payload>    Use the specified ASCII payload.
656   \-f <filename>         Read the ASCII payload from a file.
657   \-F <filename>         Read the hexadecimal payload from a file.
658   \-S                    Simulation mode: DOES NOT put anything on the wire.
659                         This is typically combined with one of the verbose
660                         modes (\-v or V).
662 Many options require a keyword or a number but the \-t option is an exception
663 since it requires both a packet type (such as ip, udp, dns, etc) and an
664 argument string which is specific for that packet type. Here are some simple
665 examples:
667   mausezahn \-t help
668   mausezahn \-t tcp help
669   mausezahn eth3 \-t udp sp=69,dp=69,p=ca:fe:ba:be
671 Note: Don't forget that on the CLI the Linux shell (usually the Bash)
672 interprets spaces as a delimiting character. That is, if you are specifying
673 an argument that consists of multiple words with spaces in between, you MUST
674 group these within quotes. For example, instead of
676   mausezahn eth0 \-t udp sp=1,dp=80,p=00:11:22:33
678  you could either omit the spaces
680   mausezahn eth0 \-t udp sp=1,dp=80,p=00:11:22:33
682  or, for greater safety, use quotes:
684   mausezahn eth0 \-t udp "sp=1,dp=80,p=00:11:22:33"
686 In order to monitor what's going on, you can enable the verbose mode using
687 the \-v option. The opposite is the quiet mode (\-q) which will keep mausezahn
688 absolutely quiet (except for error messages and warnings.)
690 Don't confuse the payload argument p=... with the padding option \-p. The latter
691 is used outside the quotes!
693 .SS The automatic packet builder:
695 An important argument is \-t which invokes a packet builder. Currently there
696 are packet builders for ARP, BPDU, CDP, IP, partly ICMP, UDP, TCP, RTP, DNS,
697 and SYSLOG. (Additionally you can insert a VLAN tag or a MPLS label stack but
698 this works independently of the packet builder.)
700 You get context specific help for every packet builder using the help keyword,
701 such as:
703   mausezahn \-t bpdu help
704   mausezahn \-t tcp help
706 For every packet you may specify an optional payload. This can be done either
707 via hexadecimal notation using the payload (or short p) argument or directly as ASCII
708 text using the \-P option:
710   mausezahn eth0 \-t ip \-P "Hello World"                        # ASCII payload
711   mausezahn eth0 \-t ip p=68:65:6c:6c:6f:20:77:6f:72:6c:64       # hex payload
712   mausezahn eth0 \-t ip "proto=89,                           \\
713                         p=68:65:6c:6c:6f:20:77:6f:72:6c:64, \\   # same with other
714                         ttl=1"                                   # IP arguments
716 Note: The raw link access mode only accepts hexadecimal payloads (because you specify
717 everything in hexadecimal here.)
719 .SS Packet count and delay:
721 By default only one packet is sent. If you want to send more packets then
722 use the count option \-c <count>. When count is zero then mausezahn will send
723 forever. By default, mausezahn sends at maximum speed (and this is really
724 fast ;-)). If you don't want to overwhelm your network devices or have other
725 reasons to send at a slower rate then you might want to specify a delay using
726 the \-d <delay> option.
728 If you only specify a numeric value it is interpreted in microsecond units.
729 Alternatively, for easier use, you might specify units such as seconds, sec,
730 milliseconds, or msec. (You can also abbreviate this with s or m.)
731 Note: Don't use spaces between the value and the unit! Here are typical examples:
733 Send an infinite number of frames as fast as possible:
735   mausezahn \-c 0  "aa bb cc dd ...."
737 Send 100,000 frames with a 50 msec interval:
739   mausezahn \-c 100000 \-d 50msec "aa bb cc dd ...."
741 Send an unlimited number of BPDU frames in a 2 second interval:
743   mausezahn \-c 0 \-d 2s \-t bpdu conf
745 Note: mausezahn does not support fractional numbers. If you want to specify for
746 example 2.5 seconds then express this in milliseconds (2500 msec).
748 .SS Source and destination addresses:
750 As a mnemonic trick keep in mind that all packets run from "A" to "B". You can
751 always specify source and destination MAC addresses using the \-a and \-b
752 options, respectively. These options also allow keywords such as rand, own,
753 bpdu, cisco, and others.
755 Similarly, you can specify source and destination IP addresses using the \-A
756 and \-B options, respectively. These options also support FQDNs (i.e. domain
757 names) and ranges such as 192.168.0.0/24 or 10.0.0.11-10.0.3.22. Additionally,
758 the source address option supports the rand keyword (ideal for "attacks").
760 Note: When you use the packet builder for IP-based packets (e.g. UDP or TCP)
761 then mausezahn automatically cares about correct MAC and IP addresses (i.e.
762 it performs ARP, DHCP, and DNS for you). But when you specify at least a single
763 link-layer address (or any other L2 option such as a VLAN tag or MPLS header)
764 then ARP is disabled and you must care for the Ethernet destination address for
765 yourself.
767 .SS Layer-2:
769 .SS `-- Direct link access:
771 mausezahn allows you to send ANY chain of bytes directly through your Ethernet
772 interface:
774   mausezahn eth0 "ff:ff:ff:ff:ff:ff ff:ff:ff:ff:ff:ff 00:00 ca:fe:ba:be"
776 This way you can craft every packet you want but you must do it by hand. Note:
777 On Wi-Fi interfaces the header is much more complicated and automatically
778 created by the Wi-Fi driver. As an example to introduce some interesting options,
779 lets continuously send frames at max speed with random source MAC address and
780 broadcast destination address, additionally pad the frame to 1000 bytes:
782   mausezahn eth0 \-c 0 \-a rand \-b bcast \-p 1000 "08 00 aa bb cc dd"
784 The direct link access supports automatic padding using the \-p <total frame
785 length> option. This allows you to pad a raw L2 frame to the desired length.
786 You must specify the total length, and the total frame length must have at
787 least 15 bytes for technical reasons. Zero bytes are used for padding.
789 .SS `-- ARP:
791 mausezahn provides a simple interface to the ARP packet. You can specify the
792 ARP method (request|reply) and up to four arguments: sendermac, targetmac,
793 senderip, targetip, or short smac, tmac, sip, tip. By default, an ARP reply is
794 sent with your own interface addresses as source MAC and IP address, and a
795 broadcast destination MAC and IP address. Send a gratuitous ARP request (as used for
796 duplicate IP address detection):
798   mausezahn eth0 \-t arp
800 ARP cache poisoning:
802   mausezahn eth0 \-t arp "reply, senderip=192.168.0.1, targetmac=00:00:0c:01:02:03, \\
803                           targetip=172.16.1.50"
805  where by default your interface MAC address will be used as sendermac,
806 senderip denotes the spoofed IP address, targetmac and targetip identifies the
807 receiver. By default, the Ethernet source address is your interface MAC and the
808 destination address is the broadcast address. You can change this
809 using the flags \-a and \-b.
811 .SS `-- BPDU:
813 mausezahn provides a simple interface to the 802.1D BPDU frame format (used to
814 create the Spanning Tree in bridged networks). By default, standard IEEE 802.1D
815 BPDUs are sent and it is assumed that your computer wants to become the
816 root bridge (rid=bid). Optionally the 802.3 destination address can be a
817 specified MAC address, broadcast, own MAC, or Cisco's PVST+ MAC address. The
818 destination MAC can be specified using the \-b command which, besides MAC
819 addresses, accepts keywords such as bcast, own, pvst, or stp (default). PVST+
820 is supported as well. Simply specify the VLAN for which you want to send a BPDU:
822   mausezahn eth0 \-t bpdu "vlan=123, rid=2000"
824 See mausezahn \-t bpdu help for more details.
826 .SS `-- CDP:
828 mausezahn can send Cisco Discovery Protocol (CDP) messages since this protocol
829 has security relevance. Of course lots of dirty tricks are possible; for
830 example arbitrary TLVs can be created (using the hex-payload argument for
831 example p=00:0e:00:07:01:01:90) and if you want to stress the CDP database of
832 some device, mausezahn can send each CDP message with another system-id using
833 the change keyword:
835   mausezahn \-t cdp change \-c 0
837 Some routers and switches may run into deep problems ;-) See
838 mausezahn \-t cdp help for more details.
840 .SS `-- 802.1Q VLAN Tags:
842 mausezahn allows simple VLAN tagging for IP (and other higher layer) packets.
843 Simply use the option \-Q <[CoS:]VLAN>, such as \-Q 10 or \-Q 3:921. By
844 default CoS=0. For example send a TCP packet in VLAN 500 using CoS=7:
846   mausezahn eth0 \-t tcp \-Q 7:500 "dp=80, flags=rst, p=aa:aa:aa"
848 You can create as many VLAN tags as you want! This is interesting to create
849 QinQ encapsulations or VLAN hopping: Send a UDP packet with VLAN tags 100
850 (outer) and 651 (inner):
852   mausezahn eth0 \-t udp "dp=8888, sp=13442" \-P "Mausezahn is great" \-Q 100,651
854 Don't know if this is useful anywhere but at least it is possible:
856   mausezahn eth0 \-t udp "dp=8888, sp=13442" \-P "Mausezahn is great"  \\
857                  \-Q 6:5,7:732,5:331,5,6
859 Mix it with MPLS:
861   mausezahn eth0 \-t udp "dp=8888, sp=13442" \-P "Mausezahn is great" \-Q 100,651 \-M 314
863 When in raw Layer 2 mode you must create the VLAN tag completely by yourself.
864 For example if you want to send a frame in VLAN 5 using CoS 0 simply specify
865 81:00 as type field and for the next two bytes the CoS (PCP), DEI (CFI), and
866 VLAN ID values (all together known as TCI):
868   mausezahn eth0 \-b bc \-a rand "81:00 00:05 08:00 aa-aa-aa-aa-aa-aa-aa-aa-aa"
870 .SS `-- MPLS labels:
872 mausezahn allows you to insert one or more MPLS headers. Simply use the option
873 \-M <label:CoS:TTL:BoS> where only the label is mandatory. If you specify a
874 second number it is interpreted as the experimental bits (the CoS usually). If
875 you specify a third number it is interpreted as TTL. By default the TTL is
876 set to 255. The Bottom of Stack flag is set automatically, otherwise the frame
877 would be invalid, but if you want you can also set or unset it using the
878 S (set) and s (unset) argument. Note that the BoS must be the last argument in
879 each MPLS header definition. Here are some examples:
881 Use MPLS label 214:
883   mausezahn eth0 \-M 214 \-t tcp "dp=80" \-P "HTTP..." \-B myhost.com
885 Use three labels (the 214 is now the outer):
887   mausezahn eth0 \-M 9999,51,214 \-t tcp "dp=80" \-P "HTTP..." \-B myhost.com
889 Use two labels, one with CoS=5 and TTL=1, the other with CoS=7:
891   mausezahn eth0 \-M 100:5:1,500:7 \-t tcp "dp=80" \-P "HTTP..." \-B myhost.com
893 Unset the BoS flag (which will result in an invalid frame):
895   mausezahn eth0 \-M 214:s \-t tcp "dp=80" \-P "HTTP..." \-B myhost.com
897 .SS Layer 3-7:
899 IP, UDP, and TCP packets can be padded using the \-p option. Currently 0x42 is
900 used as padding byte ('the answer'). You cannot pad DNS packets (would be
901 useless anyway).
903 .SS `-- IP:
905 mausezahn allows you to send any malformed or correct IP packet. Every field
906 in the IP header can be manipulated. The IP addresses can be specified via
907 the \-A and \-B options, denoting the source and destination address,
908 respectively. You can also specify an address range or a host name (FQDN).
909 Additionally, the source address can also be random. By default the source
910 address is your interface IP address and the destination address is a
911 broadcast address. Here are some examples:
913 ASCII payload:
915   mausezahn eth0 \-t ip \-A rand \-B 192.168.1.0/24  \-P "hello world"
917 Hexadecimal payload:
919   mausezahn eth0 \-t ip \-A 10.1.0.1-10.1.255.254 \-B 255.255.255.255 p=ca:fe:ba:be
921 Will use correct source IP address:
923   mausezahn eth0 \-t ip \-B www.xyz.com
925 The Type of Service (ToS) byte can either be specified directly by two
926 hexadecimal digits, which means you can also easily set the Explicit
927 Congestion Notification (ECN) bits (LSB 1 and 2), or you may only want to
928 specify a common DSCP value (bits 3-8) using a decimal number (0..63):
930 Packet sent with DSCP = Expedited Forwarding (EF):
932   mausezahn eth0 \-t ip dscp=46,ttl=1,proto=1,p=08:00:5a:a2:de:ad:be:af
934 If you leave the checksum as zero (or unspecified) the correct checksum will
935 be automatically computed. Note that you can only use a wrong checksum when
936 you also specify at least one L2 field manually.
938 .SS `-- UDP:
940 mausezahn supports easy UDP datagram generation. Simply specify the
941 destination address (\-B option) and optionally an arbitrary source address
942 (\-A option) and as arguments you may specify the port numbers using the
943 dp (destination port) and sp (source port) arguments and a payload. You can
944 also easily specify a whole port range which will result in sending multiple
945 packets. Here are some examples:
947 Send test packets to the RTP port range:
949   mausezahn eth0 \-B 192.168.1.1 \-t udp "dp=16384-32767, \\
950                    p=A1:00:CC:00:00:AB:CD:EE:EE:DD:DD:00"
952 Send a DNS request as local broadcast (often a local router replies):
954   mausezahn eth0 \-t udp dp=53,p=c5-2f-01-00-00-01-00-00-00-00-00-00-03-77-77-\\
955                                  77-03-78-79-7a-03-63-6f-6d-00-00-01-00-01"
957 Additionally you may specify the length and checksum using the len and sum
958 arguments (will be set correctly by default). Note: several protocols have same
959 arguments such as len (length) and sum (checksum). If you specified a UDP type
960 packet (via \-t udp) and want to modify the IP length, then use the alternate
961 keyword iplen and ipsum. Also note that you must specify at least one L2 field
962 which tells mausezahn to build everything without the help of your kernel (the
963 kernel would not allow modifying the IP checksum and the IP length).
965 .SS `-- ICMP:
967 mausezahn currently only supports the following ICMP methods: PING (echo
968 request), Redirect (various types), Unreachable (various types). Additional
969 ICMP types will be supported in future. Currently you would need to tailor them
970 by yourself, e.g. using the IP packet builder (setting proto=1). Use the
971 mausezahn \-t icmp help for help on currently implemented options.
973 .SS `-- TCP:
975 mausezahn allows you to easily tailor any TCP packet. Similarly as with UDP you
976 can specify source and destination port (ranges) using the sp and dp arguments.
977 Then you can directly specify the desired flags using an "|" as delimiter if
978 you want to specify multiple flags. For example, a SYN-Flood attack against
979 host 1.1.1.1 using a random source IP address and periodically using all 1023
980 well-known ports could be created via:
982   mausezahn eth0 \-A rand \-B 1.1.1.1 \-c 0 \-t tcp "dp=1-1023, flags=syn"  \\
983                  \-P "Good morning! This is a SYN Flood Attack.             \\
984                      We apologize for any inconvenience."
986 Be careful with such SYN floods and only use them for firewall testing. Check
987 your legal position! Remember that a host with an open TCP session only accepts
988 packets with correct socket information (addresses and ports) and a valid TCP
989 sequence number (SQNR). If you want to try a DoS attack by sending a RST-flood
990 and you do NOT know the target's initial SQNR (which is normally the case) then
991 you may want to sweep through a range of sequence numbers:
993   mausezahn eth0 \-A legal.host.com \-B target.host.com \\
994                  \-t tcp "sp=80,dp=80,s=1-4294967295"
996 Fortunately, the SQNR must match the target host's acknowledgement number plus
997 the announced window size. Since the typical window size is something between
998 40000 and 65535 you are MUCH quicker when using an increment via the ds argument:
1000   mausezahn eth0 \-A legal.host.com \-B target.host.com \\
1001                  \-t tcp "sp=80, dp=80, s=1-4294967295, ds=40000"
1003 In the latter case mausezahn will only send 107375 packets instead of
1004 4294967295 (which results in a duration of approximately 1 second compared to
1005 11 hours!). Of course you can tailor any TCP packet you like. As with other L4
1006 protocols mausezahn builds a correct IP header but you can additionally access
1007 every field in the IP packet (also in the Ethernet frame).
1009 .SS `-- DNS:
1011 mausezahn supports UDP-based DNS requests or responses. Typically you may want
1012 to send a query or an answer. As usual, you can modify every flag in the header.
1013 Here is an example of a simple query:
1015   mausezahn eth0 \-B mydns-server.com \-t dns "q=www.ibm.com"
1017 You can also create server-type messages:
1019   mausezahn eth0 \-A spoofed.dns-server.com \-B target.host.com \\
1020                  "q=www.topsecret.com, a=172.16.1.1"
1022 The syntax according to the online help (\-t dns help) is:
1024   query|q = <name>[:<type>]  ............. where type is per default "A"
1025                                            (and class is always "IN")
1026   answer|a = [<type>:<ttl>:]<rdata> ...... ttl is per default 0.
1027            = [<type>:<ttl>:]<rdata>/[<type>:<ttl>:]<rdata>/...
1029 Note: If you only use the 'query' option then a query is sent. If you
1030 additionally add an 'answer' then an answer is sent. Examples:
1032   q = www.xyz.com
1033   q = www.xyz.com, a=192.168.1.10
1034   q = www.xyz.com, a=A:3600:192.168.1.10
1035   q = www.xyz.com, a=CNAME:3600:abc.com/A:3600:192.168.1.10
1037 Please try out mausezahn \-t dns help to see the many other optional command
1038 line options.
1040 .SS `-- RTP and VoIP path measurements:
1042 mausezahn can send arbitrary Real Time Protocol (RTP) packets. By default a
1043 classical G.711 codec packet of 20 ms segment size and 160 bytes is assumed. You
1044 can measure jitter, packet loss, and reordering along a path between two hosts
1045 running mausezahn. The jitter measurement is either done following the variance
1046 low-pass filtered estimation specified in RFC 3550 or using an alternative
1047 "real-time" method which is even more precise (the RFC-method is used by
1048 default). For example on Host1 you start a transmission process:
1050   mausezahn \-t rtp \-B 192.168.1.19
1052 And on Host2 (192.168.1.19) a receiving process which performs the measurement:
1054   mausezahn \-T rtp
1056 Note that the option flag with the capital "T" means that it is a server RTP
1057 process, waiting for incoming RTP packets from any mausezahn source. In case
1058 you want to restrict the measurement to a specific source or you want to
1059 perform a bidirectional measurement, you must specify a stream identifier.
1060 Here is an example for bidirectional measurements which logs the running
1061 jitter average in a file:
1063   Host1# mausezahn \-t rtp id=11:11:11:11 \-B 192.168.2.2 &
1064   Host1# mausezahn \-T rtp id=22:22:22:22 "log, path=/tmp/mz/"
1066   Host2# mausezahn \-t rtp id=22:22:22:22 \-B 192.168.1.1 &
1067   Host2# mausezahn \-T rtp id=11:11:11:11 "log, path=/tmp/mz/"
1069 In any case the measurements are printed continuously onto the screen; by
1070 default it looks like this:
1072   0.00                     0.19                      0.38                      0.57
1073   |-------------------------|-------------------------|-------------------------|
1074   #########                                                                      0.07 msec
1075   ####################                                                           0.14 msec
1076   ##                                                                             0.02 msec
1077   ###                                                                            0.02 msec
1078   #########                                                                      0.07 msec
1079   ####                                                                           0.03 msec
1080   #########                                                                      0.07 msec
1081   #############                                                                  0.10 msec
1082   ##                                                                             0.02 msec
1083   ###########################################                                    0.31 msec
1084   #########                                                                      0.07 msec
1085   ##############################################                                 0.33 msec
1086   ###############                                                                0.11 msec
1087   ##########                                                                     0.07 msec
1088   ###############                                                                0.11 msec
1089   ##########################################################                     0.42 msec
1090   #####                                                                          0.04 msec
1092 More information is shown using the txt keyword:
1094   mausezahn \-T rtp txt
1095   Got 100 packets from host 192.168.0.3: 0 lost (0 absolute lost), 1 out of order
1096     Jitter_RFC (low pass filtered) = 30 usec
1097     Samples jitter (min/avg/max)   = 1/186/2527 usec
1098     Delta-RX (min/avg/max)         = 2010/20167/24805 usec
1099   Got 100 packets from host 192.168.0.3: 0 lost (0 absolute lost), 1 out of order
1100     Jitter_RFC (low pass filtered) = 17 usec
1101     Samples jitter (min/avg/max)   = 1/53/192 usec
1102     Delta-RX (min/avg/max)         = 20001/20376/20574 usec
1103   Got 100 packets from host 192.168.0.3: 0 lost (0 absolute lost), 1 out of order
1104     Jitter_RFC (low pass filtered) = 120 usec
1105     Samples jitter (min/avg/max)   = 0/91/1683 usec
1106     Delta-RX (min/avg/max)         = 18673/20378/24822 usec
1108 See mausezahn \-t rtp help and mz \-T rtp help for more details.
1110 .SS `-- Syslog:
1112 The traditional Syslog protocol is widely used even in professional networks
1113 and is sometimes vulnerable. For example you might insert forged Syslog
1114 messages by spoofing your source address (e.g. impersonate the address of a
1115 legit network device):
1117   mausezahn \-t syslog sev=3 \-P "You have been mausezahned." \-A 10.1.1.109 \-B 192.168.7.7
1119 See mausezahn \-t syslog help for more details.
1121 .SH NOTE
1123 When multiple ranges are specified, e.g. destination port ranges and
1124 destination address ranges, then all possible combinations of ports and
1125 addresses are used for packet generation. Furthermore, this can be mixed with
1126 other ranges e.g. a TCP sequence number range. Note that combining ranges
1127 can lead to a very huge number of frames to be sent. As a rule of thumb you
1128 can assume that about 100,000 frames and more are sent in a fraction of one
1129 second, depending on your network interface.
1131 mausezahn has been designed as a fast traffic generator so you might easily
1132 overwhelm a LAN segment with myriads of packets. And because mausezahn could
1133 also support security audits it is possible to create malicious or invalid
1134 packets, SYN floods, port and address sweeps, DNS and ARP poisoning, etc.
1136 Therefore, don't use this tool when you are not aware of the possible
1137 consequences or have only a little knowledge about networks and data
1138 communication. If you abuse mausezahn for 'unallowed' attacks and get caught,
1139 or damage something of your own, then this is completely your fault. So the
1140 safest solution is to try it out in a lab environment.
1142 Also have a look at the netsniff-ng(8) note section on how you can properly
1143 setup and tune your system.
1145 .SH LEGAL
1146 mausezahn is licensed under the GNU GPL version 2.0.
1148 .SH HISTORY
1149 .B mausezahn
1150 was originally written by Herbert Haas. According to his website [1], he
1151 unfortunately passed away in 2011 thus leaving this tool unmaintained.
1152 It has been adopted and integrated into the netsniff-ng toolkit and is further
1153 being maintained and developed from there. Maintainers are Tobias Klauser
1154 <tklauser@distanz.ch> and Daniel Borkmann <dborkma@tik.ee.ethz.ch>.
1156   [1] http://www.perihel.at/
1158 .SH SEE ALSO
1159 .BR netsniff-ng (8),
1160 .BR trafgen (8),
1161 .BR ifpps (8),
1162 .BR bpfc (8),
1163 .BR flowtop (8),
1164 .BR astraceroute (8),
1165 .BR curvetun (8)
1167 .SH AUTHOR
1168 Manpage was written by Herbert Haas and modified by Daniel Borkmann.
1170 .SH COLOPHON
1171 This page is part of the Linux netsniff-ng toolkit project. A description of the project,
1172 and information about reporting bugs, can be found at http://netsniff-ng.org/.