Packet capture tai PCAP kutsutaan myös libpcap, ja se on application programming interface (API), joka pystyy kaappaamaan live packet data verkossa.
se tekee niin OSI-kerroksen 2-7 mallissa. Verkkoanalysaattorit tai pakettien nuuskijat, kuten Wireshark, luovat .pcap (packet capture file) – tiedostot, kun ne lukevat tietoja verkosta.
PCAP-tiedostoja käytetään TCP / IP-ja UDP-verkkopakettidatan katseluun, joten jos verkkoliikennettä haluaa kirjata, on luotava tiedostoja a: lla .pcap tiedostopääte.
Täältä voit lukea lisää siitä, mikä PCAP-tiedosto on ja miten se toimii.
miten Packet Sniffer toimii?
pcap-tiedostojen kaappaamiseen tarvitaan packet sniffer, joka kaappaa paketit ja esittää ne helposti ymmärrettävällä tavalla.
kun käytät PCAP-haistinta, sinun täytyy tunnistaa käyttöliittymä, jota haluat haistaa. Jos käytät Linux-pohjaisia laitteita, nämä voivat olla eth0 tai wlan0. Voit myös valita käyttöliittymän ifconfig-komennolla.
kun tunnette rajapinnan, joudutte nuuskimaan; voitte valita, millaista liikennettä haluatte seurata.
esimerkiksi monien työkalujen avulla voi valita erilaisia pakettityyppejä, kuten TCP / IP, ja siten se kerää vain tämän tyypin.
voit käyttää WIRESHARKIA PCAP-tiedostojen kaappaukseen ja verkkoanalyysiin. täällä voit suodattaa liikennetyyppi näet capture suodattimet ja näyttää suodattimet.
kaappaussuodattimet ovat kaappaamaasi liikennettä, ja näyttö on näkemääsi dataa. On esimerkiksi mahdollista suodattaa protokollia, virtoja tai isäntiä.
suodatetulla liikenteellä voi tarkistaa suorituskykyongelmat. Voit myös filer lähdeportteja kohdistaa analyysi sekä kohdeportteja. Kaikkea tätä voidaan käyttää verkon suorituskyvyn testaamiseen. (Lue Online Safety For Kids)
Why Would I Need PCAP?
PCAP voi tarjota runsaasti resursseja tiedostojen analysointiin ja verkkoliikenteen seurantaan.
Pakettikeräystyökalut, mukaan lukien Wireshark, mahdollistavat verkkoliikenteen keräämisen ja sen muuntamisen ihmisen luettavaan avoimeen tiedostomuotoon.
monestakin syystä PCAP: tä käytetään laajalti verkkojen seuraamiseen. Yleisempiä ovat muun muassa kaistanleveyden käytön seuranta, valheellisten DHCP-palvelimien tunnistaminen, haittaohjelmien havaitseminen, DNS: n ratkaiseminen ja vaaratilanteisiin reagoiminen.
verkon ylläpitäjälle tai tietoturvatutkijoille PCAP packet-tiedostoanalyysi on hyödyllinen tapa havaita verkkointruusiot ja kaikki epäilyttävä toiminta.
esimerkiksi, jos avoin lähdekoodi lähettää suuria määriä haitallista liikennettä verkossa, voit käyttää PCAP-ohjelmistoagenttia tällaisen liikenteen tunnistamiseen ja tehdä korjaavia toimenpiteitä tiedostohyökkäyksen ratkaisemiseksi.
mitkä ovat PCAP: n versiot?
pcap-tiedostoista löytyy erilaisia versioita, kuten:
- Libpcap
- WinPcap
- PCAPng
- Npcap
jokainen PCAP-versio tarjoaa käyttökotelonsa ja erilaisia verkon seurantatyökaluja tuen kera. Esimerkiksi Libpcap on kannettava avoimen lähdekoodin C/C++-kirjasto, joka on suunniteltu Linuxille ja Mac OS: lle.
sen avulla admin voi suodattaa ja kaapata paketteja työkaluilla kuten tcpdump, joka käyttää Libpcap-tiedostomuotoa.
Windowsille on käytössä WinPcap-formaatti, joka on toinen kannettava pakettikaappauskirjasto, joka kaappaa ja suodattaa paketteja. Wireshark, Nmap ja Snort ovat suosittuja ja käyttävät winpcapia laitteiden seurantaan, vaikka protokolla on päättynyt.
Pkapng tai.pcap Next Generation Capture File Format on kehittynyt versio PCAP ja on oletuksena Wireshark. Pcapng kaappaa ja tallentaa tietoja.
Pcapng kerää laajennettua aikaleiman tarkkuutta, käyttäjien kommentteja ja kaappaustilastoja lisätietoja varten.
Wireshark käyttää PCAPng: tä, koska se tallentaa enemmän tietoa kuin PCAP, vaikka se ei ole yhteensopiva joidenkin työkalujen kanssa.
Npcap on Windows portable packet sniffer-kirjasto, joka on nopeampi ja turvallinen kuin WinpCap. Npcap: ssä on Windows 10-tuki ja (127.0.0.1) loopback packet capture injection. Sillä on myös Wiresharkin tuki.
PCAP-Pakettikaappauksen edut
pakettikaappauksen tärkein etu on näkyvyys. Käytät pakettidataa verkko-ongelmien juurisyihin.
voit seurata liikenteen lähteitä ja ymmärtää sovellusten ja laitteiden käyttötietoja. PCAP tarjoaa reaaliaikaisia tiedostotietoja verkon suorituskykyyn liittyvien ongelmien löytämiseksi ja ratkaisemiseksi, jotta voit ylläpitää verkon toimintaa tietoturvatapahtumien ja avoimen verkon jälkeen.
on mahdollista tunnistaa, missä haittaohjelmat tunkeutuivat avoimeen verkkoon jäljittämällä haitallisen liikenteen ja haitallisen tiedostoviestinnän kulkua.
ilman PCAP-ja packet sniffereitä tämä olisi enemmän haaste. Helppokäyttöisenä ja luettavana tiedostomuotona PCAP on edullinen, koska se on yhteensopiva lähes kaikkien pakettien haistelijoiden kanssa missä tahansa käyttöjärjestelmässä, kuten Windowsissa, macOS: ssa ja Linuxissa.
pcap-Pakettikaappauksen haitat
vaikka on hienoa pystyä tallentamaan verkkoliikennettä ja ymmärtämään pakettikaappauksia ja käyttämään pcap-tiedostotarjonnan tietoja.
on kuitenkin joitakin rajoituksia. Sovellukset, kuten Wireshark Windowsissa tai muissa käyttöjärjestelmissä, eivät salli PCAP: n kaapata kaikkea.
voi edelleen löytää esimerkiksi sellaisia verkkohyökkäyksiä, jotka eivät johdu verkkoliikenteestä tiedostojen avaamiseen tai käyttöön.
Laitteistohyökkäykset ja USB-asemilta voivat olla fyysisiä hyökkäyksiä, ja tämä tieto on piilossa Wiresharkin kaltaisilta, kunnes se vaikuttaa verkkoon, ja silloinkin ohjelmiston tai ylläpitäjän voi olla vaikea selvittää perussyytä.
yksi asia, joka usein jää huomaamatta, on se, miten hyökkääjät kiertävät Wiresharkin Windowsilla tai muulla käyttöjärjestelmällä ja piilottavat tietonsa.
salaus piilottaa tietosi ja tekee Wiresharkin kaltaisten sovellusten on mahdotonta lukea tietojasi.
voit luoda Wiresharkin avulla PCAP-tiedostotunnistetiedoston, eikä se ole luettavissa, eikä PCAP-tiedostoa voi avata, koska sisältö on salattu. Yksi tapa, jolla he tekevät tämän, voi olla VPN: n käyttö.
virtuaalinen yksityinen verkko käyttää salattuja tunneleita tiedostojen lähettämiseen, eikä kukaan ulkopuolinen voi avata tiedostoa.
käyttäjien tulisi tietää, että verkon ylläpitäjät ovat viisaita käyttämään PCAP: tä perusturvamuotona. Toisaalta hakkerit voivat käyttää Wiresharkin kaltaisia työkaluja Wi-Fi-yhteyksissä, ja siksi kaikkien käyttäjien tulisi käyttää premium-VPN-palveluntarjoajan palveluita.
Jos VPN pystyy piilottamaan hakkerit, voit piilottaa tietosi myös muilta.
