Packet capture vagy PCAP is nevezik libpcap, és ez egy alkalmazás programozási felület (API), amely képes rögzíteni az élő csomagkapcsolt adatok a hálózaton.
ezt az OSI Layer 2-7 modellben teszi. Hálózati analizátorok vagy csomagszippantók, például a Wireshark létrehoz .pcap (packet capture file) fájlok, amikor adatokat olvasnak a hálózatról.
a PCAP fájlokat TCP / IP és UDP hálózati csomagkapcsolt adatok megtekintésére használják, ezért ha hálózati forgalmat szeretne naplózni, akkor a-val kell létrehoznia a fájlokat .pcap fájlkiterjesztés.
itt többet megtudhat arról, hogy mi a PCAP fájl és hogyan működik.
hogyan működik a Csomagszippantó?
a PCAP fájlok rögzítéséhez csomagszippantót kell használni, amely rögzíti a csomagokat, és könnyen érthető módon mutatja be őket.
amikor PCAP szippantót használ, meg kell határoznia a szippantani kívánt felületet. Ha Linux alapú eszközöket használ, ezek lehetnek eth0 vagy wlan0. A felületet az ifconfig paranccsal is kiválaszthatja.
miután megismerte a felületet, szippantani fog; kiválaszthatja a figyelni kívánt forgalom típusát.
például számos eszköz lehetővé teszi a különböző csomagtípusok, például a TCP/IP kiválasztását, így csak ezt a típust gyűjti össze.
használhatja a Wireshark-ot PCAP fájlrögzítéshez és hálózati elemzéshez. itt lehetővé teszi, hogy kiszűrje a forgalom típusát, amelyet a rögzítési szűrőkben és a megjelenítési szűrőkben lát.
a rögzítési szűrők a rögzített forgalom, a kijelző pedig a látott adatok. Például lehetőség van protokollok, áramlások vagy gazdagépek szűrésére.
szűrt forgalom esetén ellenőrizheti a teljesítményproblémákat. Azt is filer forrás portok cél az elemzés, valamint a cél portok. Mindez felhasználható a hálózati teljesítmény tesztelésére. (Olvassa el az online biztonságot gyerekeknek)
miért lenne szükségem PCAP-ra?
a PCAP gazdag erőforrást biztosít a fájlok elemzéséhez és a hálózati forgalom megfigyeléséhez.
a Csomaggyűjtő eszközök, beleértve a Wireshark-ot, lehetővé teszik a hálózati forgalom összegyűjtését és az ember által olvasható nyílt fájlformátumba konvertálását.
számos okból a PCAP-t széles körben használják a hálózatok megfigyelésére. A leggyakoribbak közé tartozik a sávszélesség-használat figyelése, a szélhámos DHCP-kiszolgálók azonosítása, a rosszindulatú programok észlelése, a DNS megoldása és az eseményekre való reagálás.
a hálózati rendszergazdák vagy a biztonsági kutatók számára a PCAP csomagfájl-elemzés hasznos módszer a hálózati behatolások és a gyanús tevékenységek észlelésére.
például, ha egy nyílt forráskód nagy mennyiségű rosszindulatú forgalmat küld a hálózaton, akkor a PCAP software agent segítségével azonosíthatja az ilyen forgalmat, és korrekciós intézkedéseket alkalmazhat a fájltámadás megoldására.
melyek a PCAP verziói?
megtalálható különböző változatai PCAP fájlokat, beleértve:
- Libpcap
- WinPcap
- PCAPng
- npcap
minden PCAP verzió kínál a használati eset és a különböző hálózati felügyeleti eszközök támogatásával. A Libpcap például egy hordozható, nyílt forráskódú c / C++ könyvtár, amelyet Linuxra és Mac OS-re terveztek.
lehetővé teszi az adminisztrátor számára a csomagok szűrését és rögzítését olyan eszközökkel, mint a tcpdump, amelyek Libpcap fájlformátumot használnak.
Windows esetén WinPcap formátum van, amely egy másik hordozható packet capture könyvtár, amely rögzíti és szűri a csomagokat. A Wireshark, az Nmap és a Snort népszerűek, és a WinPCap-ot használják az eszközfigyeléshez, bár a protokoll véget ért.
Pcapng vagy .a pcap Next Generation Capture fájlformátum a PCAP fejlett verziója,és a Wireshark alapértelmezett. A Pcapng adatokat rögzít és tárol.
a Pcapng bővített időbélyeg pontosságot, felhasználói megjegyzéseket és rögzítési statisztikákat gyűjt további információkért.
a Wireshark a PCAPng-t használja, mivel több információt rögzít, mint a PCAP, még akkor is, ha hiányzik a kompatibilitás egyes eszközökkel.
az Npcap egy Windows portable packet sniffer könyvtár, amely gyorsabb és biztonságosabb, mint a WinpCap. Az Npcap Windows 10 támogatással és (127.0.0.1) loopback packet capture injekcióval rendelkezik. Azt is támogatja a Wireshark.
PCAP Csomagrögzítés előnyei
a csomagrögzítés fő előnye a láthatóság. A csomagkapcsolt adatok segítségével meghatározhatja a hálózati problémák kiváltó okait.
nyomon követheti a forgalmi forrásokat, és megértheti az alkalmazás-és eszközhasználati adatokat. A PCAP valós idejű fájlinformációkat kínál a hálózati teljesítményproblémák megkereséséhez és megoldásához, így a biztonsági események és a nyitott hálózat után is fenntarthatja a hálózati funkciót.
a rosszindulatú forgalom és a rosszindulatú fájlkommunikáció nyomon követésével felismerhető, hogy a rosszindulatú programok hol léptek be egy nyílt hálózatba.
PCAP és packet sniffers nélkül ez nagyobb kihívás lenne. Mint egy könnyen használható és olvasható fájlformátum, PCAP előnyös, hogy kompatibilis szinte minden csomag sniffers bármilyen operációs rendszer, mint a Windows, macOS és Linux.
a PCAP Packet Capture hátrányai
miközben nagyszerű a hálózati forgalom rögzítése és a csomagrögzítés megértése, valamint a PCAP fájl által szolgáltatott információk felhasználása.
vannak azonban bizonyos korlátozások. Az olyan alkalmazások, mint a Wireshark a Windows vagy a másik operációs rendszeren, nem teszik lehetővé a PCAP számára, hogy mindent rögzítsen.
például továbbra is találhat olyan kibertámadásokat, amelyek nem a fájlok megnyitásához vagy eléréséhez szükséges hálózati forgalomból származnak.
a hardveres támadások és az USB-meghajtók fizikai támadások lehetnek, és ez az információ rejtve van a Wireshark-hoz hasonlóan, amíg nem érinti a hálózatot, és még akkor is nehéz lehet A szoftver vagy az admin számára, hogy meghatározza a kiváltó okot.
egy dolog, amit gyakran figyelmen kívül hagynak, az az, ahogyan a támadók megkerülik a Wireshark-ot Windows-on vagy más operációs rendszeren, és elrejtik az információikat.
a Titkosítás elrejti az adatokat, és lehetetlenné teszi az olyan alkalmazások számára, mint a Wireshark, hogy elolvassák az Ön adatait.
a Wireshark segítségével létrehozhat egy PCAP fájlkiterjesztésű fájlt, amely nem lesz olvasható, és nem tudja megnyitni a PCAP fájlt, mivel a tartalma titkosítva van. Ennek egyik módja lehet A VPN használata.
a virtuális magánhálózat titkosított alagutakat használ a fájlok elküldéséhez, és kívülről senki sem tudja megnyitni a fájlt.
a felhasználóknak tudniuk kell, hogy a hálózati adminisztrátorok bölcsen használják a PCAP-t a biztonság alapformájaként. Másrészt a hackerek olyan eszközöket használhatnak, mint a Wireshark a Wi-Fi kapcsolatokon, így a biztonság érdekében minden felhasználónak Prémium VPN-szolgáltató szolgáltatásait kell igénybe vennie.
Ha egy VPN el tudja rejteni a hackereket, akkor elrejtheti az adatait mindenki más elől is.
