Packet capture nebo PCAP je také označován jako libpcap a je to aplikační programovací rozhraní (API), schopné zachytit živá paketová data v síti.
činí tak v modelu OSI Layer 2-7. Vytvoří se síťové analyzátory nebo sniffery paketů, jako je Wireshark .pcap (packet capture file) soubory Při čtení dat ze sítě.
PCAP soubory se používají pro prohlížení TCP / IP a UDP síťových paketů dat, a proto, pokud chcete přihlásit síťový provoz, budete muset vytvořit soubory s .přípona souboru pcap.
zde se můžete dozvědět více o tom, co je soubor PCAP a jak to funguje.
Jak Funguje Paketový Sniffer Práce?
Chcete-li zachytit soubory PCAP, musíte použít Sniffer paketů, který zachycuje pakety a prezentuje je snadno srozumitelným způsobem.
při použití PCAP sniffer, budete muset identifikovat rozhraní, které chcete čichat. Pokud používáte zařízení se systémem Linux, mohou to být eth0 nebo wlan0. Rozhraní můžete také vybrat pomocí příkazu ifconfig.
Jakmile znáte rozhraní, budete čichat; můžete si vybrat typ provozu, který chcete sledovat.
mnoho nástrojů vám například umožňuje vybrat různé typy paketů, jako je TCP / IP, a proto bude shromažďovat pouze tento typ.
Wireshark můžete použít pro zachycení souborů PCAP a analýzu sítě. zde umožňuje filtrovat typ provozu, který vidíte ve snímacích filtrech a zobrazovacích filtrech.
filtry zachycení jsou zachycené přenosy a na displeji jsou data, která vidíte. Například je možné filtrovat protokoly, toky nebo hostitele.
s filtrovaným provozem můžete zkontrolovat problémy s výkonem. Můžete také filer na zdrojové porty zaměřit svou analýzu, stejně jako cílové porty. To vše lze použít k testování výkonu sítě. (Přečtěte si online bezpečnost pro děti)
proč bych potřeboval PCAP?
PCAP může poskytnout bohatý zdroj pro analýzu souborů a pro monitorování síťového provozu.
nástroje pro sběr paketů, včetně Wireshark, umožňují shromažďovat síťový provoz a převést jej do otevřeného formátu čitelného pro člověka.
z mnoha důvodů je PCAP široce používán k monitorování sítí. Mezi běžnější patří sledování využití šířky pásma, identifikace nepoctivých serverů DHCP, detekce malwaru, řešení DNS a reakce na incidenty.
pro správce sítě nebo bezpečnostní výzkumníky je analýza paketových souborů PCAP užitečným způsobem detekce narušení sítě a jakékoli podezřelé aktivity.
Pokud například otevřený zdroj vysílá velké množství škodlivého provozu v síti, můžete použít softwarového agenta PCAP k identifikaci takového provozu a použít nápravná opatření k vyřešení útoku na soubor.
Jaké jsou Verze PCAP?
můžete Si najít různé verze PCAP souborů, včetně:
- Libpcap
- WinPcap
- PCAPng
- Npcap
Každý PCAP verze nabízí jeho případ použití a různé sítě-monitorovací nástroje s podporou. Libpcap je například přenosná open-source knihovna c / c++ určená pro Linux a Mac OS.
umožňuje administrátorovi filtrovat a zachytit pakety pomocí nástrojů, jako je tcpdump, které používají formát souboru Libpcap.
pro Windows máte Formát WinPcap, což je další přenosná Knihovna pro zachycení paketů, která zachycuje a filtruje pakety. Wireshark, Nmap a Snort jsou populární a používají WinPCap pro monitorování zařízení, ačkoli protokol skončil.
Pcapng nebo .pcap Next Generation Capture File Format je pokročilá verze PCAP a je výchozí v Wireshark. Pcapng zachycuje a ukládá data.
Pcapng shromažďuje rozšířené časové razítko přesnost, uživatelské komentáře, a zachytit statistiky pro více informací.
Wireshark používá PCAPng, protože zaznamenává více informací než PCAP, i když postrádá kompatibilitu s některými nástroji.
Npcap je Windows portable packet sniffer knihovna, která je rychlejší a bezpečnější než WinpCap. Npcap má Windows 10 podporu a (127.0.0.1) loopback paket zachycení injekce. Má také podporu pro Wireshark.
PCAP Packet Capturing výhody
hlavní výhodou paketu capturing je viditelnost. Paketová data používáte k určení hlavních příčin problémů se sítí.
můžete sledovat zdroje provozu a porozumět datům o využití aplikací a zařízení. PCAP nabízí informace o souborech v reálném čase k vyhledání a vyřešení problémů s výkonem sítě, takže můžete udržovat funkci sítě po bezpečnostních událostech a otevřené síti.
je možné rozpoznat, kde malware vstoupil do otevřené sítě sledováním toku škodlivého provozu a škodlivé komunikace se soubory.
bez PCAP a paketových snifferů by to byla větší výzva. Jak snadno používat a číst formát souboru PCAP je výhodné, že je kompatibilní s téměř všemi packet sniffer na libovolném OS, jako jsou Windows, macOS a Linux.
nevýhody zachycení paketů PCAP
i když je skvělé být schopen zaznamenávat síťový provoz a porozumět zachycení paketů a používat informace, které soubor PCAP dodává.
existují však určitá omezení. Aplikace jako Wireshark ve Windows nebo jiném operačním systému neumožňují PCAP zachytit vše.
například stále můžete najít některé kybernetické útoky, které nevyplývají ze síťového provozu pro otevírání nebo přístup k souborům.
Hardware útoky a z USB disky mohou být fyzické útoky, a tato informace je skryta, od likes Wireshark, dokud to má vliv na síti, a dokonce i pak, to může být těžké pro software nebo správce určit příčinu.
jednou věcí často je dohled nad tím, jak útočníci obcházejí Wireshark ve Windows nebo jiném operačním systému a skrývají své informace.
šifrování skryje vaše data a znemožňuje aplikacím, jako je Wireshark, číst vaše informace.
Wireshark můžete použít k vytvoření souboru s příponou PCAP a nebude čitelný a soubor PCAP nelze otevřít, protože obsah je šifrován. Jedním ze způsobů, jak to udělat, může být použití VPN.
virtuální privátní síť používá šifrované tunely k odesílání svých souborů a nikdo zvenčí nemůže soubor otevřít.
uživatelé by měli vědět, že správce sítě je moudré používat PCAP jako základní formu zabezpečení. Na druhé straně mohou hackeři používat takové nástroje, jako je Wireshark, na připojení Wi-Fi, a proto by měl být každý uživatel v bezpečí využívat služby prémiového poskytovatele VPN.
Pokud VPN dokáže skrýt hackery, můžete své informace skrýt také před všemi ostatními.
