keypair: do selftest before generating and verifying keypair
[netsniff-ng.git] / mausezahn.8
blob876184f8312b670e65cde9e696ded533e1defa1a
1 .\" netsniff-ng - the packet sniffing beast
2 .\" Copyright 2013 Herbert Haas, modified by Daniel Borkmann.
3 .\" Subject to the GPL, version 2.
4 .PP
5 .TH MAUSEZAHN 8 "03 March 2013" "Linux" "netsniff-ng toolkit"
6 .SH NAME
7 mausezahn \- a fast versatile packet generator with Cisco-cli
8 .PP
9 .SH SYNOPSIS
10 .PP
11 \fB mausezahn\fR { [\fIoptions\fR] "<arg-string> | <hex-string>" }
12 .PP
13 .SH DESCRIPTION
14 .PP
15 mausezahn is a fast traffic generator which allows you to send nearly every
16 possible and impossible packet. In contrast to trafgen(8), mausezahn's packet
17 configuration is on protocol-level instead of byte-level and mausezahn also
18 comes with a built-in Cisco-like command-line interface, making it suitable
19 as a network traffic generator box in your network lab.
20 .PP
21 Next to network labs, it can also be used as a didactical tool and for security
22 audits including penetration and DoS testing. As a traffic generator, mausezahn
23 is also able to test IP multicast or VoIP networks. Packet rates close to the
24 physical limit are reachable, depending on the hardware platform.
25 .PP
26 mausezahn supports two modes, ``direct mode'' and a multi-threaded ``interactive
27 mode''.
28 .PP
29 The ``direct mode'' allows you to create a packet directly on the command line
30 and every packet parameter is specified in the argument list when calling
31 mausezahn.
32 .PP
33 The ``interactive mode'' is an advanced multi-threaded configuration mode with
34 its own command line interface (cli). This mode allows you to create an arbitrary
35 number of packet types and streams in parallel, each with different parameters.
36 .PP
37 The interactive mode utilizes a completely redesigned and more flexible protocol
38 framework called ``mops'' (mausezahn's own packet system). The look and feel of
39 the cli is very close to the Cisco IOS^tm command line.
40 .PP
41 You can start the interactive mode by executing mausezahn with the ``\-x''
42 argument (an optional port number may follow, otherwise it is 25542). Then use
43 telnet(1) to connect to this mausezahn instance. If not otherwise specified,
44 the default login/password combination is mz:mz and the enable password is: mops.
45 This can be changed in /etc/netsniff-ng/mausezahn.conf.
46 .PP
47 The direct mode supports two specification schemes: The ``raw-layer-2'' scheme,
48 where every single byte to be sent can be specified, and ``higher-layer'' scheme,
49 where packet builder interfaces are used (using the ``\-t'' option).
50 .PP
51 To use the ``raw-layer-2'' scheme, simply specify the desired frame as a
52 hexadecimal sequence (the ``hex-string''), such as:
53 .PP
54   mausezahn eth0 "00:ab:cd:ef:00 00:00:00:00:00:01 08:00 ca:fe:ba:be"
55 .PP
56 In this example, whitespaces within the byte string are optional and separate
57 the Ethernet fields (destination and source address, type field, and a short
58 payload). The only additional options supported are ``\-a'', ``\-b'', ``\-c'',
59 and ``\-p''. The frame length must be greater than or equal to 15 bytes.
60 .PP
61 The ``higher-layer'' scheme is enabled using the ``\-t <packet-type>'' option.
62 This option activates a packet builder, and besides the ``packet-type'', an
63 optional ``arg-string'' can be specified. The ``arg-string'' contains packet-
64 specific parameters, such as TCP flags, port numbers, etc (see example section).
65 .PP
66 .SH OPTIONS
67 .PP
68 mausezahn provides a built-in context-specific help. Thus, simply append the
69 keyword ``help'' after the configuration options. The most important options
70 are:
71 .PP
72 .SS -x [<port>]
73 Start mausezahn in interactive mode with a Cisco-like cli. Use telnet to log
74 into the local mausezahn instance. If no port has been specified, port 25542
75 is used as default.
76 .PP
77 .SS -v
78 Verbose mode. Capital \-V is even more verbose.
79 .PP
80 .SS -S
81 Simulation mode, i.e. don't put anything on the wire. This is typically combined
82 with the verbose mode.
83 .PP
84 .SS -q
85 Quiet mode where only warnings and errors are displayed.
86 .PP
87 .SS -c <count>
88 Send the packet count times (default: 1, infinite: 0).
89 .PP
90 .SS -d <delay>
91 Apply delay between transmissions. The delay value can be specified in usec
92 (default, no additional unit needed), or in msec (e.g. 100m or 100msec), or
93 in seconds (e.g. 100s or 100sec). Note: mops also supports nanosecond delay
94 granulation if you need it (see interactive mode).
95 .PP
96 .SS -p <length>
97 Pad the raw frame to specified length using zero bytes. Note that for raw
98 layer 2 frames the specified length defines the whole frame length, while for
99 higher layer packets the number of additional padding bytes are specified.
101 .SS -a <src-mac|keyword>
102 Use specified source MAC address with hex notation such as 00:00:aa:bb:cc:dd.
103 By default the interface MAC address will be used. The keywords ``rand'' and
104 ``own'' refer to a random MAC address (only unicast addresses are created)
105 and the own address, respectively. You can also use the keywords mentioned
106 below although broadcast-type source addresses are officially invalid.
108 .SS -b <dst-mac|keyword>
109 Use specified destination MAC address. By default, a broadcast is sent in raw
110 layer 2 mode or the destination hosts/gateways interface MAC address in normal
111 (IP) mode. You can use the same keywords as mentioned above, as well as
112 ``bc'' or ``bcast'', ``cisco'', and ``stp''. Please note that for the destination
113 MAC address the ``rand'' keyword is supported but creates a random address only
114 once, even when you send multiple packets.
116 .SS -A <src-ip|range|rand>
117 Use specified source IP address, default is own interface IP. Optionally, the
118 keyword ``rand'' can again be used for a random source IP address or a range
119 can be specified, such as ``192.168.1.1-192.168.1.100'' or ``10.1.0.0/16''.
120 Also, a DNS name can be specified for which mausezahn tries to determine the
121 corresponding IP address automatically.
123 .SS -B <dst-ip|range>
124 Use specified destination IP address (default is broadcast i.e. 255.255.255.255).
125 As with the source address (see above) you can also specify a range or a DNS name.
127 .SS -t <packet-type>
128 Create the specified packet type using the built-in packet builder. Currently,
129 supported packet types are: ``arp'', ``bpdu'', ``ip'', ``udp'', ``tcp'', ``rtp'',
130 and ``dns''. Currently, there is also limited support for ``icmp''. Type
131 ``\-t help'' to verify which packet builders your actual mausezahn version
132 supports. Also, for any particular packet type, for example ``tcp'' type
133 ``mausezahn \-t tcp help'' to receive a more in-depth context specific help.
135 .SS -T <packet-type>
136 Make this mausezahn instance the receiving station. Currently, only ``rtp'' is
137 an option here and provides precise jitter measurements. For this purpose, start
138 another mausezahn instance on the sending station and the local receiving station
139 will output jitter statistics. See ``mausezahn \-T rtp help'' for a detailed help.
141 .SS -Q <[CoS:]vlan> [, <[CoS:]vlan>, ...]
142 Specify 802.1Q VLAN tag and optional Class of Service. An arbitrary number of
143 VLAN tags can be specified (that is you can simulate QinQ or even QinQinQinQ..).
144 Multiple tags must be separated via a comma or a period (e.g. "5:10,20,2:30").
145 VLAN tags are not supported for ARP and BPDU packets (in which case you could
146 specify the whole frame in hex using the raw layer 2 interface of mausezahn).
148 .SS -M <label[:cos[:ttl]][bos]> [, <label...>]
149 Specify a MPLS label or even a MPLS label stack. Optionally, for each label the
150 experimental bits (usually the Class of Service, CoS) and the Time To Live
151 (TTL) can be specified. And if you are really crazy you can set/unset the
152 Bottom of Stack (BoS) bit at each label using the ``S'' (set) and ``s''
153 (unset) option. By default, the BoS is set automatically and correct. Any other
154 setting will lead to invalid frames. Enter ``\-M help'' for detailed instructions
155 and examples.
157 .SS -P <ascii-payload>
158 Specify a cleartext payload. Alternatively, each packet type supports a
159 hexadecimal specification of the payload (see for example ``\-t udp help'').
161 .SS -f <filename>
162 Read the ascii payload from the specified file.
164 .SS -F <filename>
165 Read the hex payload from the specified file. Actually, this file must be also
166 an ascii text file, but must contain hexadecimal digits, e.g. "aa:bb:cc:0f:e6...".
167 You can use also spaces as separation characters.
169 .SH USAGE EXAMPLE
171 For more comprehensive examples, have a look at the two follow-up howto sections.
173 .SS mausezahn eth0 \-c 0 \-d 2s \-t bpdu vlan=5
174 Send BPDU frames for VLAN 5 as used with Cisco's PVST+ type of STP. By default
175 mausezahn assumes that you want to become the root bridge.
177 .SS mausezahn eth0 \-c 128000 \-a rand \-p 64
178 Perform a CAM table overflow attack.
180 .SS mausezahn eth0 \-c 0 \-Q 5,100 \-t tcp "flags=syn,dp=1-1023" \-p 20 \-A rand \-B 10.100.100.0/24
181 Perform a SYN flood attack to another VLAN using VLAN hopping. This only works
182 if you are connected to the same VLAN which is configured as native VLAN on the
183 trunk. We assume that the victim VLAN is VLAN 100 and the native VLAN is VLAN 5.
184 Lets attack every host in VLAN 100 which use a IP prefix of 10.100.100.0/24, also
185 try out all ports between 1 and 1023 and use a random source IP address.
187 .SS mausezahn eth0 \-c 0 \-d 10msec \-B 230.1.1.1 \-t udp "dp=32000,dscp=46" \-P "Multicast test packet"
188 Send IP multicast packets to the multicast group 230.1.1.1 using a UDP header
189 with destination port 32000 and set the IP DSCP field to EF (46). Send one
190 frame every 10 msec.
192 .SS mausezahn eth0 \-Q 6:420 \-M 100,200,300:5 \-A 172.30.0.0/16 \-B target.anynetwork.foo \-t udp "sp=666,dp=1-65535" \-p 1000 \-c 10
193 Send UDP packets to the destination host target.anynetwork.foo using all
194 possible destination ports and send every packet with all possible source
195 addresses of the range 172.30.0.0/16; additionally use a source port of 666
196 and three MPLS labels, 100, 200, and 300, the outer (300) with QoS field 5.
197 Send the frame with a VLAN tag 420 and CoS 6; eventually pad with 1000 bytes
198 and repeat the whole thing 10 times.
200 .SS mausezahn \-t syslog sev=3 \-P "Main reactor reached critical temperature." \-A 192.168.33.42 \-B 10.1.1.9 \-c 6 \-d 10s
201 Send six forged syslog messages with severity 3 to a Syslog server 10.1.1.9; use
202 a forged source IP address 192.168.33.42 and let mausezahn decide which local
203 interface to use. Use an inter-packet delay of 10 seconds.
205 .SS mausezahn \-t tcp "flags=syn|urg|rst, sp=145, dp=145, win=0, s=0-4294967295, ds=1500, urg=666" \-a bcast \-b bcast \-A bcast \-B 10.1.1.6 \-p 5
206 Send an invalid TCP packet with only a 5 byte payload as layer-2 broadcast and
207 also use the broadcast MAC address as source address. The target should be
208 10.1.1.6 but use a broadcast source address. The source and destination port
209 shall be 145 and the window size 0. Set the TCP flags SYN, URG, and RST
210 simultaneously and sweep through the whole TCP sequence number space with an
211 increment of 1500. Finally set the urgent pointer to 666, i.e. pointing to
212 nowhere.
214 .SH INTERACTIVE MODE HOWTO
216 .SS Telnet:
218 Using the interactive mode requires starting mausezahn as a server:
220   mausezahn \-x
222 Now you can telnet(1) to that server using the default port number 25542, but also
223 an arbitrary port number can be specified:
225   mausezahn \-x 99
227 mausezahn accepts incoming telnet connections on port 99.
229   mz: Problems opening config file. Will use defaults
231 Either from another terminal or from another host try to telnet to the
232 mausezahn server:
234   caprica$ telnet galactica 99
235   Trying 192.168.0.4...
236   Connected to galactica.
237   Escape character is '^]'.
238   mausezahn <version>
240   Username: mz
241   Password: mz
243   mz> enable
244   Password: mops
245   mz#
247 It is recommended to configure your own login credentials in
248 /etc/mausezahn/mz.cfg, such as:
250   user = foo
251   password = bar
252   enable = bla
254 .SS Basics:
256 Since you reached the mausezahn prompt, lets try some common commands. You can
257 use the '?' character at any time for a content-sensitive help.
259 First try out the show command:
261   mz# show ?
263 mausezahn maintains its own ARP table and observes anomalies. There is an entry
264 for every physical interface (however this host has only one):
266   mz# sh arp
267   Intf    Index     IP address     MAC address       last       Ch  UCast BCast Info
268   ----------------------------------------------------------------------------------
269   eth0    [1] D     192.168.0.1  00:09:5b:9a:15:84  23:44:41     1     1     0  0000
271 The column Ch tells us that the announced MAC address has only changed one time
272 (= when it was learned). The columns Ucast and BCast tell us how often this
273 entry was announced via unicast or broadcast respectively.
275 Let's check our interfaces:
277   mz# show interface
278   Available network interfaces:
279                  real             real                  used (fake)      used (fake)
280    device        IPv4 address     MAC address           IPv4 address     MAC address
281   ---------------------------------------------------------------------------------------
282   > eth0         192.168.0.4      00:30:05:76:2e:8d     192.168.0.4      00:30:05:76:2e:8d
283     lo           127.0.0.1        00:00:00:00:00:00     127.0.0.1        00:00:00:00:00:00
284   2 interfaces found.
285   Default interface is eth0.
287 .SS Defining packets:
289 Let's check the current packet list:
291   mz# sh packet
292   Packet layer flags: E=Ethernet, S=SNAP, Q=802.1Q, M=MPLS, I/i=IP/delivery_off, U=UDP, T=TCP
293   PktID  PktName           Layers  Proto    Size  State      Device      Delay       Count/CntX
294       1  sysARP_servic...  E-----  ARP        60  config     lo          100 msec        1/0 (100%)
295   1 packets defined, 0 active.
297 We notice that there is already one system-defined packet process; it has been
298 created and used only once (during startup) by mausezahn's ARP service.
299 Currently, its state is config which means that the process is sleeping.
301 .SS General packet options:
303 Now let's create our own packet process and switch into the global
304 configuration mode:
306   mz# configure term
307   mz(config)# packet
308   Allocated new packet PKT0002 at slot 2
309   mz(config-pkt-2)# ?
310   ...
311   name                 Assign a unique name
312   description          Assign a packet description text
313   bind                 Select the network interface
314   count                Configure the packet count value
315   delay                Configure the inter-packet delay
316   interval             Configure a greater interval
317   type                 Specify packet type
318   mac                  Configure packet's MAC addresses
319   tag                  Configure tags
320   payload              Configure a payload
321   port                 Configure packet's port numbers
322   end                  End packet configuration mode
323   ethernet             Configure frame's Ethernet, 802.2, 802.3, or SNAP settings
324   ip                   Configure packet's IP settings
325   udp                  Configure packet's UDP header parameters
326   tcp                  Configure packet's TCP header parameters
328 Here are a lot of options but normally you only need a few of them. When you
329 configure lots of different packets you might assign a reasonable name and
330 description for them:
332   mz(config-pkt-2)# name Test
333   mz(config-pkt-2)# desc This is just a test
335 You can e.g. change the default settings for the source and destination MAC/IP
336 addresses using the mac and ip commands:
338   mz(config-pkt-2)# ip address dest 10.1.1.0 /24
339   mz(config-pkt-2)# ip addr source random
341 In the example above, we configured a range of addresses (all hosts in the
342 network 10.1.1.0 should be addressed). Additionally we spoof our source IP
343 address. Of course, we can also add one or more VLAN and/or MPLS tag(s):
345   mz(config-pkt-2)# tag ?
346   dot1q                Configure 802.1Q (and 802.1P) parameters
347   mpls                 Configure MPLS label stack
348   mz(config-pkt-2)# tag dot ?
349   Configure 802.1Q tags:
350   VLAN[:CoS] [VLAN[:CoS]] ...   The leftmost tag is the outer tag in the frame
351   remove <tag-nr> | all         Remove one or more tags (<tag-nr> starts with 1),
352                                 by default the first (=leftmost,outer) tag is removed,
353                                 keyword 'all' can be used instead of tag numbers.
354   cfi | nocfi [<tag-nr>]        Set or unset the CFI-bit in any tag (by default
355                                 assuming the first tag).
356   mz(config-pkt-2)# tag dot 1:7 200:5
358 .SS Configure count and delay:
360   mz(config-pkt-2)# count 1000
361   mz(config-pkt-2)# delay ?
362   delay <value> [hour | min | sec | msec | usec | nsec]
364 Specify the inter-packet delay in hours, minutes, seconds, milliseconds,
365 microseconds or nanoseconds. The default unit is milliseconds (i.e. when no
366 unit is given).
368   mz(config-pkt-2)# delay 1 msec
369   Inter-packet delay set to 0 sec and 1000000 nsec
370   mz(config-pkt-2)#
372 .SS Configuring protocol types:
374 mausezahn's interactive mode supports a growing list of protocols and only
375 relies on the MOPS architecture (and not on libnet as it is the case with
376 the legacy direct mode):
378   mz(config-pkt-2)# type
379   Specify a packet type from the following list:
380   arp
381   bpdu
382   igmp
383   ip
384   lldp
385   tcp
386   udp
387   mz(config-pkt-2)# type tcp
388   mz(config-pkt-2-tcp)#
389   ....
390   seqnr                Configure the TCP sequence number
391   acknr                Configure the TCP acknowledgement number
392   hlen                 Configure the TCP header length
393   reserved             Configure the TCP reserved field
394   flags                Configure a combination of TCP flags at once
395   cwr                  Set or unset the TCP CWR flag
396   ece                  Set or unset the TCP ECE flag
397   urg                  Set or unset the TCP URG flag
398   ack                  set or unset the TCP ACK flag
399   psh                  set or unset the TCP PSH flag
400   rst                  set or unset the TCP RST flag
401   syn                  set or unset the TCP SYN flag
402   fin                  set or unset the TCP FIN flag
403   window               Configure the TCP window size
404   checksum             Configure the TCP checksum
405   urgent-pointer       Configure the TCP urgend pointer
406   options              Configure TCP options
407   end                  End TCP configuration mode
408   mz(config-pkt-2-tcp)# flags syn fin rst
409   Current setting is: --------------------RST-SYN-FIN
410   mz(config-pkt-2-tcp)# end
411   mz(config-pkt-2)# paylo ascii This is a dummy payload for my first packet
412   mz(config-pkt-2)# end
414 Now configure another packet, for example let's assume we want an LLDP process:
416   mz(config)# packet
417   Allocated new packet PKT0003 at slot 3
418   mz(config-pkt-3)# ty lldp
419   mz(config-pkt-3-lldp)# exit
420   mz(config)# exit
422 In the above example we only use the default LLDP settings and don't configure
423 further LLDP options or TLVs. Back in the top level of the CLI let's verify
424 what we had done:
426   mz# sh pa
427   Packet layer flags: E=Ethernet, S=SNAP, Q=802.1Q, M=MPLS, I/i=IP/delivery_off, U=UDP, T=TCP
428   PktID  PktName            Layers  Proto    Size  State      Device   Delay      Count/CntX
429      1   sysARP_servic...   E-----  ARP        60  config     lo       100 msec       1/0 (100%)
430      2   Test               E-Q-IT            125  config     eth0    1000 usec    1000/1000 (0%)
431      3   PKT0003            E-----  LLDP       36  config     eth0      30 sec        0/0 (0%)
432   3 packets defined, 0 active.
434 The column Layers indicates which major protocols have been combined. For
435 example the packet with packet-id 2 ("Test") utilizes Ethernet (E),
436 IP (I), and TCP (T). Additionally an 802.1Q tag (Q) has been inserted. Now
437 start one of these packet processes:
439   mz# start slot 3
440   Activate [3]
441   mz# sh pac
442   Packet layer flags: E=Ethernet, S=SNAP, Q=802.1Q, M=MPLS, I/i=IP/delivery_off, U=UDP, T=TCP
443   PktID  PktName            Layers  Proto    Size  State      Device   Delay      Count/CntX
444      1   sysARP_servic...   E-----  ARP        60  config     lo       100 msec       1/0 (100%)
445      2   Test               E-Q-IT            125  config     eth0    1000 usec    1000/1000 (0%)
446      3   PKT0003            E-----  LLDP       36  config     eth0      30 sec        0/1 (0%)
447   3 packets defined, 1 active.
449 Let's have a more detailed look at a specific packet process:
451   mz# sh pac 2
452   Packet [2] Test
453   Description: This is just a test
454   State: config, Count=1000, delay=1000 usec (0 s 1000000 nsec), interval= (undefined)
455   Headers:
456    Ethernet: 00-30-05-76-2e-8d => ff-ff-ff-ff-ff-ff  [0800 after 802.1Q tag]
457    Auto-delivery is ON (that is, the actual MAC is adapted upon transmission)
458    802.1Q: 0 tag(s);  (VLAN:CoS)
459    IP:  SA=192.168.0.4 (not random) (no range)
460         DA=255.255.255.255 (no range)
461         ToS=0x00  proto=17  TTL=255  ID=0  offset=0  flags: -|-|-
462         len=49664(correct)  checksum=0x2e8d(correct)
463    TCP: 83 bytes segment size (including TCP header)
464         SP=0 (norange) (not random), DP=0 (norange) (not random)
465         SQNR=3405691582 (start 0, stop 4294967295, delta 0) -- ACKNR=0 (invalid)
466         Flags: ------------------------SYN----, reserved field is 00, urgent pointer= 0
467         Announced window size= 100
468         Offset= 0 (times 32 bit; value is valid), checksum= ffff (valid)
469         (No TCP options attached) - 0 bytes defined
470    Payload size: 43 bytes
471    Frame size: 125 bytes
472     1  ff:ff:ff:ff:ff:ff:00:30  05:76:2e:8d:81:00:e0:01  81:00:a0:c8:08:00:45:00  00:67:00:00:00:00:ff:06
473    33  fa:e4:c0:a8:00:04:ff:ff  ff:ff:00:00:00:00:ca:fe  ba:be:00:00:00:00:a0:07  00:64:f7:ab:00:00:02:04
474    65  05:ac:04:02:08:0a:19:35  90:c3:00:00:00:00:01:03  03:05:54:68:69:73:20:69  73:20:61:20:64:75:6d:6d
475    97  79:20:70:61:79:6c:6f:61  64:20:66:6f:72:20:6d:79  20:66:69:72:73:74:20:70  61:63:6b:65:74
476   mz#
478 If you want to stop one or more packet processes, use the stop command. The
479 "emergency stop" is when you use stop all:
481   mz# stop all
482   Stopping
483   [3] PKT0003
484   Stopped 1 transmission processe(s)
486 The launch command provides a shortcut for commonly used packet processes. For
487 example to behave like a STP-capable bridge we want to start an BPDU process
488 with typical parameters:
490   mz# laun bpdu
491   Allocated new packet sysBPDU at slot 5
492   mz# sh pac
493   Packet layer flags: E=Ethernet, S=SNAP, Q=802.1Q, M=MPLS, I/i=IP/delivery_off, U=UDP, T=TCP
494   PktID  PktName           Layers  Proto    Size  State      Device      Delay       Count/CntX
495       1  sysARP_servic...  E-----  ARP        60  config     lo          100 msec        1/0 (100%)
496       2  Test              E-Q-IT            125  config     eth0       1000 usec     1000/1000 (0%)
497       3  PKT0003           E-----  LLDP       36  config     eth0          30 sec        0/12 (0%)
498       4  PKT0004           E---I-  IGMP       46  config     eth0        100 msec        0/0 (0%)
499       5  sysBPDU           ES----  BPDU       29  active     eth0           2 sec        0/1 (0%)
500   5 packets defined, 1 active.
502 Now a Configuration BPDU is sent every 2 seconds, claiming to be the root
503 bridge (and usually confusing the LAN. Note that only packet 5 (i.e. the
504 last row) is active and therefore sending packets while all other packets
505 are in state config (i.e. they have been configured but they are not doing
506 anything at the moment).
508 .SS Configuring a greater interval:
510 Sometimes you may want to send a burst of packets at a greater interval:
512   mz(config)# pac 2
513   Modify packet parameters for packet Test [2]
514   mz(config-pkt-2)# interv
515   Configure a greater packet interval in days, hours, minutes, or seconds
516   Arguments: <value>  <days | hours | minutes | seconds>
517   Use a zero value to disable an interval.
518   mz(config-pkt-2)# interv 1 h
519   mz(config-pkt-2)# count 10
520   mz(config-pkt-2)# delay 15 usec
521   Inter-packet delay set to 0 sec and 15000 nsec
523 Now this packet is sent ten times with an inter-packet delay of 15 microsecond
524 and this is repeated every hour. When you look at the packet list, an interval
525 is indicated with the additional flag 'i' when inactive or 'I' when active:
527   mz# sh pa
528   Packet layer flags: E=Ethernet, S=SNAP, Q=802.1Q, M=MPLS, I/i=IP/delivery_off, U=UDP, T=TCP
529   PktID  PktName           Layers  Proto    Size  State      Device      Delay       Count/CntX
530       1  sysARP_servic...  E-----  ARP        60  config     lo          100 msec        1/0 (100%)
531       2  Test              E-Q-IT            125  config-i   eth0         15 usec       10/10 (0%)
532       3  PKT0003           E-----  LLDP       36  config     eth0          30 sec        0/12 (0%)
533       4  PKT0004           E---I-  IGMP       46  config     eth0        100 msec        0/0 (0%)
534       5  sysBPDU           ES----  BPDU       29  active     eth0           2 sec        0/251 (0%)
535   5 packets defined, 1 active.
536   mz# start sl 2
537   Activate [2]
538   mz# sh pa
539   Packet layer flags: E=Ethernet, S=SNAP, Q=802.1Q, M=MPLS, I/i=IP/delivery_off, U=UDP, T=TCP
540   PktID  PktName           Layers  Proto    Size  State      Device      Delay       Count/CntX
541       1  sysARP_servic...  E-----  ARP        60  config     lo          100 msec        1/0 (100%)
542       2  Test              E-Q-IT            125  config+I   eth0         15 usec       10/0 (100%)
543       3  PKT0003           E-----  LLDP       36  config     eth0          30 sec        0/12 (0%)
544       4  PKT0004           E---I-  IGMP       46  config     eth0        100 msec        0/0 (0%)
545       5  sysBPDU           ES----  BPDU       29  active     eth0           2 sec        0/256 (0%)
546   5 packets defined, 1 active.
548 Note that the flag 'I' indicates that an interval has been specified for
549 packet 2. The process is not active at the moment (only packet 5 is active
550 here) but it will become active in a regular interval. You can verify the
551 actual interval when viewing the packet details via the 'show packet 2' command.
553 .SS Load prepared configurations:
555 You can prepare packet configurations using the same commands as you would
556 type them in on the CLI and then load them to the CLI. For example assume we
557 have prepared a file 'test.mops' containing:
559   configure terminal
560   packet
561   name IGMP_TEST
562   desc This is only a demonstration how to load a file to mops
563   type igmp
565 Then we can add this packet configuration to our packet list using the load
566 command:
568   mz# load test.mops
569   Read commands from test.mops...
570   Allocated new packet PKT0002 at slot 2
571   mz# sh pa
572   Packet layer flags: E=Ethernet, S=SNAP, Q=802.1Q, M=MPLS, I/i=IP/delivery_off, U=UDP, T=TCP
573   PktID  PktName           Layers  Proto    Size  State      Device      Delay       Count/CntX
574       1  sysARP_servic...  E-----  ARP        60  config     lo          100 msec        1/0 (100%)
575       2  IGMP_TEST         E---I-  IGMP       46  config     eth0        100 msec        0/0 (0%)
576   2 packets defined, 0 active.
578 The file src/examples/mausezahn/example_lldp.conf contains another example
579 list of commands to create a bogus LLDP packet. You can load this
580 configuration from the mausezahn command line, e.g. via:
582   mz# load /home/hh/tmp/example_lldp.conf
584 In case you copied the file in that path. Now when you enter 'show packet' you
585 will see a new packet entry in the packet list. Use the 'start slot <nr>'
586 command to activate this packet.
588 You can store your own packet creations in such file and easily load them when
589 you need them. Every command within such configuration files is executed on the
590 command line interface as if you had typed it in -- so be careful about the
591 order and don't forget to use 'configure terminal' as first command.
593 You can even load other files from within a central config file.
595 .SH DIRECT MODE HOWTO
597 .SS How to specify hex digits:
599 Many arguments allow direct byte input. Bytes are represented as two
600 hexadecimal digits. Multiple bytes must be separated either by spaces, colons,
601 or dashes - whatever you prefer. The following byte strings are equivalent:
603   "aa:bb cc-dd-ee ff 01 02 03-04 05"
604   "aa bb cc dd ee ff:01:02:03:04 05"
606 As first example, you may want to send an arbitrary fancy (possibly invalid)
607 frame right through your network card:
609   mausezahn ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:08:00:ca:fe:ba:be
611  or equivalently but more readable:
613   mausezahn ff:ff:ff:ff:ff:ff-ff:ff:ff:ff:ff:ff-08:00-ca:fe:ba:be
615 .SS Basic operations:
617 All major command line options are listed when you execute mausezahn without
618 arguments. For practical usage keep the following special (not so widely
619 known) options in mind:
621   \-r                    Multiplies the specified delay with a random value.
622   \-p <length>           Pad the raw frame to specified length (using random bytes).
623   \-P <ASCII Payload>    Use the specified ASCII payload.
624   \-f <filename>         Read the ASCII payload from a file.
625   \-F <filename>         Read the hexadecimal payload from a file.
626   \-S                    Simulation mode: DOES NOT put anything on the wire.
627                         This is typically combined with one of the verbose
628                         modes (\-v or V).
630 Many options require a keyword or a number but the \-t option is an exception
631 since it requires both a packet type (such as ip, udp, dns, etc) and an
632 argument string which is specific for that packet type. Here are some simple
633 examples:
635   mausezahn \-t help
636   mausezahn \-t tcp help
637   mausezahn eth3 \-t udp sp=69,dp=69,p=ca:fe:ba:be
639 Note: Don't forget that on the CLI the Linux shell (usually the Bash)
640 interprets spaces as a delimiter character. That is, if you are specifying
641 an argument that consists of multiple words with spaces in between, you MUST
642 group this with quotes. For example, instead of
644   mausezahn eth0 \-t udp sp=1,dp=80,p=00:11:22:33
646  you could either omit the spaces
648   mausezahn eth0 \-t udp sp=1,dp=80,p=00:11:22:33
650  or, even more safe, use quotes:
652   mausezahn eth0 \-t udp "sp=1,dp=80,p=00:11:22:33"
654 In order to monitor what's going on, you can enable the verbose mode using
655 the \-v option. The opposite is the quiet mode (\-q) which will keep mausezahn
656 absolutely quiet (except for error messages and warnings.)
658 Don't confuse the payload argument p=... with the padding option \-p. The latter
659 is used outside the quotes!
661 .SS The automatic packet builder:
663 An important argument is "\-t" which invokes a packet builder. Currently there
664 are packet builders for ARP, BPDU, CDP, IP, partly ICMP, UDP, TCP, RTP, DNS,
665 and SYSLOG. (Additionally you can insert a VLAN tag or a MPLS label stack but
666 this works independent of the packet builder.)
668 You get context specific help of every packet builder using the help keyword,
669 such as:
671   mausezahn \-t bpdu help
672   mausezahn \-t tcp help
674 For every packet you may specify an optional payload. This can be done either
675 via HEX notation using the payload (or short p) argument or directly as ASCII
676 text using the \-P option:
678   mausezahn eth0 \-t ip \-P "Hello World"                        # ASCII payload
679   mausezahn eth0 \-t ip p=68:65:6c:6c:6f:20:77:6f:72:6c:64       # hex payload
680   mausezahn eth0 \-t ip "proto=89,                           \\
681                         p=68:65:6c:6c:6f:20:77:6f:72:6c:64, \\   # same with other
682                         ttl=1"                                   # IP arguments
684 Note: The raw link access mode only accepts hex payloads (because you specify
685 everything in hex here.)
687 .SS Packet count and delay:
689 Per default only one packet is sent. If you want to send more packets then
690 use the count option \-c <count>. When count is zero then mausezahn will send
691 forever. Per default mausezahn sends at maximum speed (and this is really 
692 fast ;-)). If you don't want to overwhelm your network devices or have other
693 reasons to send at a slower rate then you might want to specify a delay using
694 the \-d <delay> option.
696 If you only specify a numeric value it is interpreted in microsecond units.
697 Alternatively, for easier use, you might specify units such as seconds sec or
698 milliseconds msec. (You can also abbreviate this with s or m.) Note: Don't use
699 spaces between the value and the unit! Here are typical examples:
701 Send infinite frames as fast as possible:
703   mausezahn \-c 0  "aa bb cc dd ...."
705 Send 100,000 frames with a 50 msec interval:
707   mausezahn \-c 100000 \-d 50msec "aa bb cc dd ...."
709 Send infinite BPDU frames in a 2 second interval:
711   mausezahn \-c 0 \-d 2s \-t bpdu conf
713 Note: mausezahn does not support fractional numbers. If you want to specify for
714 example 2.5 seconds then express this e.g. in milliseconds (2500 msec).
716 .SS Source and destination addresses:
718 As mnemonic trick keep in mind that all packets run from "A" to "B". You can
719 always specify source and/or destination MAC addresses using the \-a and \-b
720 options, respectively. These options also allow keywords such as rand, own,
721 bpdu, cisco, and others.
723 Similarly, you can specify source and destination IP addresses using the \-A
724 and \-B options, respectively. These options also support FQDNs (i.e. domain
725 names) and ranges such as 192.168.0.0/24 or 10.0.0.11-10.0.3.22. Additionally
726 (only) the source address supports the rand keyword (ideal for "attacks").
728 Note: When you use the packet builder for IP-based packets (e.g. UDP or TCP)
729 then mausezahn automatically cares about correct MAC and IP addresses (i.e.
730 it performs ARP, DHCP, and DNS for you). But when you specify at least a single
731 link-layer address (or any other L2 option such as a VLAN tag or MPLS header)
732 then ARP is disabled and you must care for the Ethernet destination address for
733 yourself.
735 .SS Layer-2:
737 .SS `-- Direct link access:
739 mausezahn allows you to send ANY chain of bytes directly through your Ethernet
740 interface:
742   mausezahn eth0 "ff:ff:ff:ff:ff:ff ff:ff:ff:ff:ff:ff 00:00 ca:fe:ba:be"
744 This way you can craft every packet you want but you must do it by hand. Note:
745 On WiFi interfaces the header is much more complicated and automatically
746 created by the WiFi-driver. As example to introduce some interesting options,
747 lets continuously send frames at max speed with random source MAC address and
748 broadcast destination address, additionally pad the frame to 1000 bytes:
750   mausezahn eth0 \-c 0 \-a rand \-b bcast \-p 1000 "08 00 aa bb cc dd"
752 The direct link access supports automatic padding using the \-p <total frame
753 length> option. This allows you to pad a raw L2 frame to the desired length.
754 You must specify the total length and the total frame length must have at
755 least 15 bytes for technical reasons. Zero bytes are used for this padding.
757 .SS `-- ARP:
759 mausezahn provides a simple interface to the ARP packet. You can specify the
760 ARP method (request|reply) and up to four arguments: sendermac, targetmac,
761 senderip, targetip, or short smac, tmac, sip, tip. By default an ARP reply is
762 sent with your own interface addresses as source MAC and IP address, and a
763 broadcast destination MAC/IP address. Send a gratitious ARP (as used for
764 duplicate IP detection):
766   mausezahn eth0 \-t arp
768 ARP cache poisoning:
770   mausezahn eth0 \-t arp "reply, senderip=192.168.0.1, targetmac=00:00:0c:01:02:03, \\
771                           targetip=172.16.1.50"
773  where by default your interface MAC address will be used as sendermac,
774 senderip denotes the spoofed IP, targetmac and targetip identifies the
775 receiver. By default the Ethernet source address is your interface MAC and the
776 destination address is broadcast. Of course you can change this using again the
777 flags \-a and \-b.
779 .SS `-- BPDU:
781 mausezahn provides a simple interface to the 802.1d BPDU frame format (used to
782 create the Spanning Tree in bridged networks). By default standard IEEE 802.1d
783 (CST) BPDUs are sent and it is assumed that your computer wants to become the
784 root bridge (rid=bid). Optionally the 802.3 destination address can be a
785 specified MAC address, broadcast, own MAC, or Cisco's PVST+ MAC address. The
786 destination MAC can be specified using the \-b command which (besides MAC
787 addresses) accepts keywords such as bcast, own, pvst, or stp (default). Since
788 version 0.16 PVST+ is supported. Simply specify the VLAN for which you want
789 to send a BPDU:
791   mausezahn eth0 \-t bpdu "vlan=123, rid=2000"
793 See mausezahn \-t bpdu help for more details.
795 .SS `-- CDP:
797 mausezahn can send Cisco Discovery Protocol (CDP) messages since this protocol
798 has security relevance. Of course lots of dirty tricks are possible; for
799 example arbitrary TLVs can be created (using the hex-payload argument for
800 example p=00:0e:00:07:01:01:90) and if you want to stress the CDP database of
801 some device, mausezahn can send each CDP message with another system-id using
802 the change keyword:
804   mausezahn \-t cdp change \-c 0
806 Some routers and switches may run into deep problems ;-) See
807 mausezahn \-t cdp help for more details.
809 .SS `-- 802.1Q VLAN Tags:
811 mausezahn allows simple VLAN tagging for IP (and other higher layer) packets.
812 Simply use the option \-Q <[CoS:]VLAN>, such as \-Q 10 or \-Q 3:921. By
813 default CoS=0. For example send a TCP packet in VLAN 500 using CoS=7:
815   mausezahn eth0 \-t tcp \-Q 7:500 "dp=80, flags=rst, p=aa:aa:aa"
817 You can create as many VLAN tags as you want! This is interesting to create
818 QinQ encapsulations or VLAN hopping: Send a UDP packet with VLAN tags 100
819 (outer) and 651 (inner):
821   mausezahn eth0 \-t udp "dp=8888, sp=13442" \-P "Mausezahn is great" \-Q 100,651
823 Don't know if this is useful anywhere but at least it is possible:
825   mausezahn eth0 \-t udp "dp=8888, sp=13442" \-P "Mausezahn is great"  \\
826                  \-Q 6:5,7:732,5:331,5,6
828 Mix it with MPLS:
830   mausezahn eth0 \-t udp "dp=8888, sp=13442" \-P "Mausezahn is great" \-Q 100,651 \-M 314
832 Only in raw Layer 2 mode you must create the VLAN tag completely by yourself.
833 For example if you want to send a frame in VLAN 5 using CoS 0 simply specify
834 81:00 as type field and for the next two bytes the CoS (, CFI) and VLAN values:
836   mausezahn eth0 \-b bc \-a rand "81:00 00:05 08:00 aa-aa-aa-aa-aa-aa-aa-aa-aa"
838 .SS `-- MPLS labels:
840 mausezahn allows you to insert one or more MPLS headers. Simply use the option
841 \-M <label:CoS:TTL:BoS> where only the label is mandatory. If you specify a
842 second number it is interpreted as the experimental bits (the CoS usually). If
843 you specify a third number it is interpreted as TTL. Per default the TTL is
844 set to 255. The Bottom of Stack flag is set automatically (otherwise the frame
845 would be invalid) but if you want you can also set or unset it using the
846 S (set) and s (unset) argument. Note that the BoS must be the last argument in
847 each MPLS header definition. Here are some examples:
849 Use MPLS label 214:
851   mausezahn eth0 \-M 214 \-t tcp "dp=80" \-P "HTTP..." \-B myhost.com
853 Use three labels (the 214 is now the outer):
855   mausezahn eth0 \-M 9999,51,214 \-t tcp "dp=80" \-P "HTTP..." \-B myhost.com
857 Use two labels, one with CoS=5 and TTL=1, the other with CoS=7:
859   mausezahn eth0 \-M 100:5:1,500:7 \-t tcp "dp=80" \-P "HTTP..." \-B myhost.com
861 Unset the BoS flag (which will result in an invalid frame):
863   mausezahn eth0 \-M 214:s \-t tcp "dp=80" \-P "HTTP..." \-B myhost.com
865 .SS Layer 3-7:
867 IP, UDP, and TCP packets can be padded using the \-p option. Currently 0x42 is
868 used as padding byte ('the answer'). You cannot pad DNS packets (would be
869 useless anyway).
871 .SS `-- IP:
873 mausezahn allows you to send any (malformed or correct) IP packet. Every field
874 in the IP header can be manipulated. The IP addresses can be specified via
875 the \-A and \-B options, denoting the source and destination address,
876 respectively. You can also specify an address range or a host name (FQDN).
877 Additionally, the source address can also be random. By default the source
878 address is your interface IP address and the destination address is a
879 broadcast. Here are some examples:
881 Ascii payload:
883   mausezahn eth0 \-t ip \-A rand \-B 192.168.1.0/24  \-P "hello world"
885 Hex payload:
887   mausezahn eth0 \-t ip \-A 10.1.0.1-10.1.255.254 \-B 255.255.255.255 p=ca:fe:ba:be
889 Will use correct source IP address:
891   mausezahn eth0 \-t ip \-B www.xyz.com
893 The Type of Service (ToS) byte can either be specified directly by two
894 hexadecimal digits (which means you can also easily set the Explicit
895 Congestion Notification (ECN) bits (LSB 1 and 2) or you may only want to
896 specify a common DSCP value (bits 3-8) using a decimal number (0..63):
898 Packet sent with DSCP = Expedited Forwarding (EF):
900   mausezahn eth0 \-t ip dscp=46,ttl=1,proto=1,p=08:00:5a:a2:de:ad:be:af
902 If you leave the checksum zero (or unspecified) the correct checksum will
903 be automatically computed. Note that you can only use a wrong checksum when
904 you also specify at least one L2 field manually.
906 .SS `-- UDP:
908 mausezahn support easy UDP datagram generation. Simply specify the
909 destination address (\-B option) and optionally an arbitrary source address
910 (\-A option) and as arguments you may specify the port numbers using the
911 dp (destination port) and sp (source port) arguments and a payload. You can
912 also easily specify a whole port range which will result in sending multiple
913 packets. Here are some examples:
915 Send test packets to the RTP port range:
917   mausezahn eth0 \-B 192.168.1.1 \-t udp "dp=16384-32767, \\
918                    p=A1:00:CC:00:00:AB:CD:EE:EE:DD:DD:00"
920 Send a DNS request as local broadcast (often a local router replies):
922   mausezahn eth0 \-t udp dp=53,p=c5-2f-01-00-00-01-00-00-00-00-00-00-03-77-77-\\
923                                  77-03-78-79-7a-03-63-6f-6d-00-00-01-00-01"
925 Additionally you may specify the length and checksum using the len and sum
926 arguments (will be set correctly by default). Note: several protocols have same
927 arguments such as len (length) and sum (checksum). If you specified a udp type
928 packet (via \-t udp) and want to modify the IP length, then use the alternate
929 keyword iplen and ipsum. Also note that you must specify at least one L2 field
930 which tells mausezahn to build everything without help of your kernel (the
931 kernel would not allow to modify the IP checksum and the IP length).
933 .SS `-- ICMP:
935 mausezahn currently only supports the following ICMP methods: PING (echo
936 request), Redirect (various types), Unreachable (various types). Additional
937 ICMP types will be supported in future. Currently you would need to tailor them
938 by your own, e.g. using the IP packet builder (setting proto=1). Use the
939 mausezahn \-t icmp help for help on actually implemented options.
941 .SS `-- TCP:
943 mausezahn allows you to easily tailor any TCP packet. Similar as with UDP you
944 can specify source and destination port (ranges) using the sp and dp arguments.
945 Then you can directly specify the desired flags using an "|" as delimiter if
946 you want to specify multiple flags. For example, a SYN-Flood attack against
947 host 1.1.1.1 using a random source IP address and periodically using all 1023
948 well-known ports could be created via:
950   mausezahn eth0 \-A rand \-B 1.1.1.1 \-c 0 \-t tcp "dp=1-1023, flags=syn"  \\
951                  \-P "Good morning! This is a SYN Flood Attack.             \\
952                      We apologize for any inconvenience."
954 Be careful with such SYN floods and only use them for firewall testing. Check
955 your legal position! Remember that a host with an open TCP session only accepts
956 packets with correct socket information (addresses and ports) and a valid TCP
957 sequence number (SQNR). If you want to try a DoS attack by sending a RST-flood
958 and you do NOT know the target's initial SQNR (which is normally the case) then
959 you may want to sweep through a range of sequence numbers:
961   mausezahn eth0 \-A legal.host.com \-B target.host.com \\
962                  \-t tcp "sp=80,dp=80,s=1-4294967295"
964 Fortunately, the SQNR must match the target host's acknowledgement number plus
965 the announced window size. Since the typical window size is something between
966 40000 and 65535 you are MUCH quicker when using an increment using the ds
967 argument:
969   mausezahn eth0 \-A legal.host.com \-B target.host.com \\
970                  \-t tcp "sp=80, dp=80, s=1-4294967295, ds=40000"
972 In the latter case mausezahn will only send 107375 packets instead of
973 4294967295 (which results in a duration of approximately 1 second compared to
974 11 hours!). Of course you can tailor any TCP packet you like. As with other L4
975 protocols mausezahn builds a correct IP header but you can additionally access
976 every field in the IP packet (also in the Ethernet frame).
978 .SS `-- DNS:
980 mausezahn supports UDP-based DNS requests or responses. Typically you may want
981 to send a query or an answer. As usual you can modify every flag in the header.
982 Here is an example of a simple query:
984   mausezahn eth0 \-B mydns-server.com \-t dns "q=www.ibm.com"
986 You can also create server-type messages:
988   mausezahn eth0 \-A spoofed.dns-server.com \-B target.host.com \\
989                  "q=www.topsecret.com, a=172.16.1.1"
991 The syntax according to the online help (\-t dns help) is:
993   query|q = <name>[:<type>]  ............. where type is per default "A"
994                                            (and class is always "IN")
995   answer|a = [<type>:<ttl>:]<rdata> ...... ttl is per default 0.
996            = [<type>:<ttl>:]<rdata>/[<type>:<ttl>:]<rdata>/...
998 Note: If you only use the 'query' option then a query is sent. If you
999 additionally add an 'answer' then an answer is sent. Examples:
1001   q = www.xyz.com
1002   q = www.xyz.com, a=192.168.1.10
1003   q = www.xyz.com, a=A:3600:192.168.1.10
1004   q = www.xyz.com, a=CNAME:3600:abc.com/A:3600:192.168.1.10
1006 Please try out mausezahn \-t dns help to see the many other optional command
1007 line options.
1009 .SS `-- RTP and VoIP path measurements:
1011 mausezahn can send arbitrary Real Time Protocol (RTP) packets. Per default a
1012 classical G.711 codec (20 ms segment size, 160 bytes) is assumed. You can
1013 measure jitter, packet loss and reordering along a path between two hosts
1014 running mausezahn. The jitter measurement is either done following the variance
1015 low-pass filtered estimation specified in RFC 3550 or using an alternative
1016 "real-time" method which is even more precise (the RFC-method is used by
1017 default). For example on Host1 you start a transmission process:
1019   mausezahn \-t rtp \-B 192.168.1.19
1021 And on Host2 (192.168.1.19) a receiving process which performs the measurement:
1023   mausezahn \-T rtp
1025 Note that the option flag with the capital "T" means that it is a server RTP
1026 process, waiting for incoming RTP packets from any mausezahn source. In case
1027 you want to restrict the measurement to a specific source or you want to
1028 perform a bidirectional measurement, you must specify a stream identifier.
1029 Here is an example for bidirectional measurements which logs the running
1030 jitter average in a file:
1032   Host1# mausezahn \-t rtp id=11:11:11:11 \-B 192.168.2.2 &
1033   Host1# mausezahn \-T rtp id=22:22:22:22 "log, path=/tmp/mz/"
1035   Host2# mausezahn \-t rtp id=22:22:22:22 \-B 192.168.1.1 &
1036   Host2# mausezahn \-T rtp id=11:11:11:11 "log, path=/tmp/mz/"
1038 In any case the measurements are printed continuously onto the screen; by
1039 default it looks like this:
1041   0.00                     0.19                      0.38                      0.57
1042   |-------------------------|-------------------------|-------------------------|
1043   #########                                                                      0.07 msec
1044   ####################                                                           0.14 msec
1045   ##                                                                             0.02 msec
1046   ###                                                                            0.02 msec
1047   #########                                                                      0.07 msec
1048   ####                                                                           0.03 msec
1049   #########                                                                      0.07 msec
1050   #############                                                                  0.10 msec
1051   ##                                                                             0.02 msec
1052   ###########################################                                    0.31 msec
1053   #########                                                                      0.07 msec
1054   ##############################################                                 0.33 msec
1055   ###############                                                                0.11 msec
1056   ##########                                                                     0.07 msec
1057   ###############                                                                0.11 msec
1058   ##########################################################                     0.42 msec
1059   #####                                                                          0.04 msec
1061 More information is shown using the txt keyword:
1063   mausezahn \-T rtp txt
1064   Got 100 packets from host 192.168.0.3: 0 lost (0 absolute lost), 1 out of order
1065     Jitter_RFC (low pass filtered) = 30 usec
1066     Samples jitter (min/avg/max)   = 1/186/2527 usec
1067     Delta-RX (min/avg/max)         = 2010/20167/24805 usec
1068   Got 100 packets from host 192.168.0.3: 0 lost (0 absolute lost), 1 out of order
1069     Jitter_RFC (low pass filtered) = 17 usec
1070     Samples jitter (min/avg/max)   = 1/53/192 usec
1071     Delta-RX (min/avg/max)         = 20001/20376/20574 usec
1072   Got 100 packets from host 192.168.0.3: 0 lost (0 absolute lost), 1 out of order
1073     Jitter_RFC (low pass filtered) = 120 usec
1074     Samples jitter (min/avg/max)   = 0/91/1683 usec
1075     Delta-RX (min/avg/max)         = 18673/20378/24822 usec
1077 See mausezahn \-t rtp help and mz \-T rtp help for more details.
1079 .SS `-- Syslog:
1081 The traditional Syslog protocol is widely used even in professional networks
1082 and is sometimes vulnerable. For example you might insert forged Syslog
1083 messages by spoofing your source address (e.g. impersonate the address of a
1084 legit network device):
1086   mausezahn \-t syslog sev=3 \-P "You have been mausezahned." \-A 10.1.1.109 \-B 192.168.7.7
1088 See mausezahn \-t syslog help for more details.
1090 .SH NOTE
1092 When multiple ranges are specified, e.g. destination port ranges and
1093 destination address ranges, then all possible combinations of ports and
1094 addresses are used for packet generation. Furthermore, this can be mixed with
1095 other ranges e.g. a TCP sequence number range. Note that combining ranges
1096 can lead to a very huge number of frames to be sent. As a rule of thumb you
1097 can assume that about 100,000 frames and more are sent in a fraction of one
1098 second, depending on your network interface.
1100 mausezahn has been designed as fast traffic generator so you might easily
1101 overwhelm a LAN segment with myriads of packets. And because mausezahn should
1102 also support security audits it is also possible to create malicious or
1103 invalid packets, SYN floods, port and address sweeps, DNS and ARP poisoning,
1104 etc.
1106 Therefore, don't use this tool when you are not aware of possible consequences
1107 or have only little knowledge about networks and data communication. If you
1108 abuse mausezahn for 'unallowed' attacks and get caught, or damage something of
1109 your own, then this is completely your fault. So the safest solution is to try
1110 it out in a lab environment.
1112 Also have a look at the netsniff-ng(8) note section on how you can properly
1113 setup and tune your system.
1115 .SH LEGAL
1116 mausezahn is licensed under the GNU GPL version 2.0.
1118 .SH HISTORY
1119 .B mausezahn
1120 was originally written by Herbert Haas. According to his website [1], he
1121 unfortunately passed away in 2011. Thus, having this tool unmaintained as well.
1122 It has been adopted and integrated into the netsniff-ng toolkit and is further
1123 being maintained and developed from there. Maintainers are Tobias Klauser
1124 <tklauser@distanz.ch> and Daniel Borkmann <dborkma@tik.ee.ethz.ch>.
1126   [1] http://www.perihel.at/
1128 .SH SEE ALSO
1129 .BR netsniff-ng (8),
1130 .BR trafgen (8),
1131 .BR ifpps (8),
1132 .BR bpfc (8),
1133 .BR flowtop (8),
1134 .BR astraceroute (8),
1135 .BR curvetun (8)
1137 .SH AUTHOR
1138 Manpage was written by Herbert Haas and modified by Daniel Borkmann.