przechwytywanie pakietów lub PCAP jest również określany jako libpcap i jest to interfejs programowania aplikacji (API), zdolny do przechwytywania danych pakietów na żywo w sieci.
robi to w modelu OSI Layer 2-7. Zostaną utworzone analizatory sieci lub sniffery pakietów, takie jak Wireshark .pliki pcap (packet capture file) podczas odczytu danych z sieci.
pliki PCAP są używane do przeglądania danych pakietów sieciowych TCP/IP i UDP, dlatego jeśli chcesz rejestrować ruch sieciowy, musisz utworzyć pliki z .rozszerzenie pliku pcap.
tutaj możesz dowiedzieć się więcej o tym, co to jest plik PCAP i jak działa.
jak działa Sniffer pakietów?
aby przechwycić pliki PCAP, musisz użyć sniffera pakietów, który przechwytuje pakiety i prezentuje je w łatwy do zrozumienia sposób.
gdy używasz sniffera PCAP, musisz zidentyfikować interfejs, który chcesz wąchać. Jeśli używasz urządzeń opartych na Linuksie, mogą to być eth0 lub wlan0. Możesz również wybrać interfejs za pomocą polecenia ifconfig.
gdy poznasz interfejs, będziesz wąchał; możesz wybrać rodzaj ruchu, który chcesz monitorować.
na przykład, wiele narzędzi pozwala na wybór różnych typów pakietów, takich jak TCP/IP, a zatem będzie zbierać tylko ten typ.
Możesz użyć Wireshark do przechwytywania plików PCAP i analizy sieci. tutaj pozwala filtrować Typ ruchu, który widzisz w filtrach przechwytywania i filtrach wyświetlania.
filtry przechwytywania to ruch rejestrowany, a wyświetlanie to dane, które widzisz. Na przykład możliwe jest filtrowanie protokołów, przepływów lub hostów.
przy filtrowanym ruchu możesz sprawdzić problemy z wydajnością. Możesz również filtrować porty źródłowe, aby kierować analizę, a także Porty docelowe. Wszystko to można wykorzystać do testowania wydajności sieci. (Czytaj bezpieczeństwo Online dla dzieci)
po co mi PCAP?
PCAP może być bogatym zasobem do analizy plików i monitorowania ruchu w sieci.
narzędzia do zbierania pakietów, w tym Wireshark, umożliwiają gromadzenie ruchu sieciowego i konwertowanie go do formatu otwartego pliku czytelnego dla człowieka.
z wielu powodów PCAP jest szeroko stosowany do monitorowania sieci. Do bardziej powszechnych należą monitorowanie wykorzystania przepustowości, identyfikacja nieuczciwych serwerów DHCP, wykrywanie złośliwego oprogramowania, rozwiązywanie DNS i reagowanie na incydenty.
dla administratora sieci lub badaczy bezpieczeństwa analiza plików pakietów PCAP jest przydatnym sposobem wykrywania włamań do sieci i wszelkich podejrzanych działań.
na przykład, jeśli open source wysyła duże ilości złośliwego ruchu w sieci, możesz użyć agenta oprogramowania PCAP, aby zidentyfikować taki ruch i zastosować środki naprawcze w celu rozwiązania ataku na plik.
jakie są wersje PCAP?
można znaleźć różne wersje plików PCAP, w tym:
- Libpcap
- WinPcap
- PCAPng
- Npcap
każda wersja PCAP oferuje swój przypadek użycia i różne narzędzia do monitorowania sieci z obsługą. Libpcap, na przykład, jest przenośną biblioteką c/c++ o otwartym kodzie źródłowym przeznaczoną dla Systemów Linux i Mac OS.
umożliwia administratorowi filtrowanie i przechwytywanie pakietów za pomocą narzędzi takich jak tcpdump, które używają formatu pliku Libpcap.
w systemie Windows masz format WinPcap, który jest kolejną przenośną biblioteką przechwytywania pakietów, która przechwytuje i filtruje Pakiety. Wireshark, Nmap i Snort są popularne i używają WinPCap do monitorowania urządzeń, chociaż protokół został zakończony.
Pcapng lub .pcap Next Generation Capture File Format jest zaawansowaną wersją PCAP i jest domyślny w Wireshark. Pcapng przechwytuje i przechowuje dane.
Pcapng zbiera rozszerzoną dokładność znaczników czasu, komentarze użytkowników i statystyki przechwytywania, aby uzyskać więcej informacji.
Wireshark używa PCAPng, ponieważ zapisuje więcej informacji niż PCAP, nawet jeśli nie ma kompatybilności z niektórymi narzędziami.
Npcap to przenośna biblioteka snifferów pakietów systemu Windows, która jest szybsza i bezpieczniejsza niż WinpCap. Npcap ma wsparcie dla systemu Windows 10 i (127.0.0.1) loopback packet capture injection. Posiada również wsparcie dla Wireshark.
zalety przechwytywania pakietów PCAP
główną zaletą przechwytywania pakietów jest widoczność. Za pomocą danych pakietów można wskazać główne przyczyny problemów z siecią.
możesz monitorować źródła ruchu i rozumieć dane dotyczące użytkowania aplikacji i urządzeń. PCAP oferuje informacje o plikach w czasie rzeczywistym, aby zlokalizować i rozwiązać problemy z wydajnością sieci, dzięki czemu można utrzymać funkcję sieci po zdarzeniach bezpieczeństwa i otwartej sieci.
można rozpoznać, gdzie złośliwe oprogramowanie weszło do otwartej sieci, śledząc przepływ złośliwego ruchu i złośliwej komunikacji plików.
bez PCAP i snifferów pakietów byłoby to większym wyzwaniem. Jako łatwy w użyciu i odczycie format plików, PCAP jest korzystny z bycia kompatybilnym z prawie wszystkimi snifferami pakietów na dowolnym systemie operacyjnym, takim jak Windows, macOS i Linux.
wady przechwytywania pakietów PCAP
podczas gdy wspaniale jest być w stanie rejestrować ruch sieciowy i rozumieć przechwytywanie pakietów oraz korzystać z informacji dostarczanych przez plik PCAP.
jednak istnieją pewne ograniczenia. Aplikacje takie jak Wireshark w systemie Windows lub innym systemie operacyjnym nie pozwalają na przechwytywanie wszystkiego przez PCAP.
na przykład nadal można znaleźć pewne cyberataki, które nie wynikają z ruchu sieciowego w celu otwierania lub uzyskiwania dostępu do plików.
ataki sprzętowe i z dysków USB mogą być atakami fizycznymi, a te informacje są ukrywane przed takimi jak Wireshark, dopóki nie wpłyną na sieć, a nawet wtedy oprogramowanie lub administrator może być trudny do określenia głównej przyczyny.
często niedopatrzeniem jest sposób, w jaki atakujący poruszają się po Wiresharku na Windows lub innym systemie operacyjnym i ukrywają swoje informacje.
Szyfrowanie ukrywa twoje dane i uniemożliwia aplikacjom takim jak Wireshark odczytanie Twoich informacji.
Możesz użyć Wireshark do utworzenia pliku rozszerzenia PCAP, który nie będzie czytelny i nie możesz otworzyć pliku PCAP, ponieważ zawartość jest zaszyfrowana. Jednym ze sposobów, w jaki to robią, może być użycie VPN.
wirtualna sieć prywatna używa szyfrowanych tuneli do wysyłania swoich plików i nikt z zewnątrz nie może go otworzyć.
użytkownicy powinni wiedzieć, że administratorzy sieci są mądrzy, aby używać PCAP jako podstawowej formy bezpieczeństwa. Z drugiej strony hakerzy mogą korzystać z takich narzędzi, jak Wireshark na połączeniach Wi-Fi, a zatem, aby być bezpiecznym, każdy użytkownik powinien korzystać z usług dostawcy premium VPN.
Jeśli VPN może ukryć hakerów, możesz ukryć swoje informacje przed wszystkimi innymi.
