Packet capture eller PCAP kallas också libpcap, och det är ett API (application programming interface) som kan fånga levande paketdata i nätverket.
det gör det i OSI Layer 2-7-modellen. Nätverksanalysatorer eller paketsniffare som Wireshark kommer att skapa .pcap-filer (packet capture file) när de läser data från ett nätverk.
PCAP-filer används för att visa TCP/IP-och UDP-nätverkspaketdata, och därför måste du skapa filer med A om du vill logga nätverkstrafik .pcap filtillägg.
Här kan du lära dig mer om vad en PCAP-fil är och hur den fungerar.
Hur fungerar en Paketsniffer?
för att fånga PCAP-filer måste du använda en paketsniffer som fångar paket och presenterar dem på ett lättförståeligt sätt.
När du använder en PCAP-sniffer måste du identifiera gränssnittet du vill sniffa. Om du använder Linux – baserade enheter kan dessa vara eth0 eller wlan0. Du kan också välja gränssnittet med kommandot ifconfig.
När du känner till gränssnittet kommer du att sniffa; du kan välja vilken typ av trafik du vill övervaka.
till exempel tillåter många av verktygen dig att välja olika pakettyper som TCP/IP, och därmed samlar den bara in den här typen.
Du kan använda Wireshark för PCAP – filinspelning och nätverksanalys. här kan du filtrera trafiktyp som du ser i fångstfiltret och visningsfiltret.
fångstfiltren är den trafik du fångar och displayen är de data du ser. Det är till exempel möjligt att filtrera protokoll, flöden eller värdar.
med filtrerad trafik kan du söka efter prestandaproblem. Du kan också filer på källportar för att rikta din analys samt destinationsportar. Allt detta kan användas för att testa nätverksprestanda. (Läs onlinesäkerhet för barn)
varför skulle jag behöva PCAP?
PCAP kan ge en rik resurs för att analysera filer och för övervakning av nätverkstrafik.
Paketsamlingsverktyg, inklusive Wireshark, gör att du kan samla nätverkstrafik och konvertera den till ett läsbart öppet filformat.
av många anledningar används PCAP ofta för att övervaka nätverk. Bland de vanligaste är övervakning av bandbreddsanvändning, identifiering av oseriösa DHCP-servrar, detektering av skadlig kod, lösning av DNS och reaktion på incidenter.
för nätverksadministratören eller säkerhetsforskare är PCAP-paketfilanalys ett användbart sätt att upptäcka nätverksintrång och eventuell misstänkt aktivitet.
om en öppen källkod till exempel skickar stora mängder skadlig trafik i nätverket kan du använda PCAP software agent för att identifiera sådan trafik och vidta korrigerande åtgärder för att lösa filattacken.
vilka är versionerna av PCAP?
Du kan hitta olika versioner av PCAP-filer, inklusive:
- Libpcap
- WinPcap
- PCAPng
- Npcap
varje PCAP-version erbjuder sitt användningsfall och olika nätverksövervakningsverktyg med stöd. Libpcap är till exempel ett bärbart C/C++-bibliotek med öppen källkod som är utformat för Linux och Mac OS.
det gör det möjligt för admin att filtrera och fånga paket med verktyg som tcpdump, som använder Libpcap-filformat.
För Windows har du WinPcap-format, vilket är ett annat bärbart paketinspelningsbibliotek som fångar och filtrerar paket. Wireshark, Nmap och Snort är populära och använder WinPCap för enhetsövervakning, även om protokollet har avslutats.
Pcapng eller .pcap Next Generation Capture – filformat är en avancerad version av PCAP och är standard i Wireshark. Pcapng fångar och lagrar data.
Pcapng samlar utökad tidsstämpelprecision, användarkommentarer och fånga statistik för mer information.
Wireshark använder PCAPng eftersom det registrerar mer information än PCAP, även när det saknar kompatibilitet med vissa verktyg.
Npcap är ett Windows-portabelt paketsnifferbibliotek, vilket är snabbare och säkert än WinpCap. Npcap har Windows 10 stöd och (127.0.0.1) loopback packet capture injektion. Det har också stöd för Wireshark.
PCAP paket fånga fördelar
den största fördelen med paket fånga är synlighet. Du använder paketdata för att hitta grundorsaker till nätverksproblem.
Du kan övervaka trafikkällor och förstå applikations-och enhetsanvändningsdata. PCAP erbjuder filinformation i realtid för att hitta och lösa problem med nätverksprestanda så att du kan behålla nätverksfunktionen efter säkerhetshändelser och ett öppet nätverk.
det är möjligt att känna igen var skadlig kod kom in i ett öppet nätverk genom att spåra flödet av skadlig trafik och skadlig filkommunikation.
utan PCAP och paket sniffers skulle detta vara mer av en utmaning. Som ett lättanvänt och läst filformat är PCAP fördelaktigt att vara kompatibel med nästan alla paketsniffrar på alla operativsystem som Windows, macOS och Linux.
nackdelar med PCAP Packet Capture
medan det är bra att kunna spela in nätverkstrafik och förstå paketfångst och använda informationen som PCAP-filen levererar.
det finns dock vissa begränsningar. Appar som Wireshark på Windows eller det andra operativsystemet tillåter inte PCAP att fånga allt.
till exempel kan du fortfarande hitta några cyberattacker som inte härrör från nätverkstrafiken för att öppna eller komma åt filer.
Hårdvaruattacker och från USB-enheter kan vara fysiska attacker, och denna information är dold från sådana som Wireshark tills den påverkar nätverket, och även då kan det vara svårt för Programvaran eller administratören att bestämma grundorsaken.
en sak som ofta är en övervakning är hur angripare tar sig runt Wireshark på Windows eller annat operativsystem och döljer sin information.
kryptering döljer dina data och gör det omöjligt för appar som Wireshark att läsa din information.
Du kan använda Wireshark för att skapa en PCAP-filtilläggsfil, och den kan inte läsas och du kan inte öppna PCAP-filen eftersom innehållet är krypterat. Ett sätt de gör detta kan vara användningen av en VPN.
ett virtuellt privat nätverk använder krypterade tunnlar för att skicka sina filer, och ingen på utsidan kan öppna filen.
användare bör veta att nätverksadministratören är klokt att använda PCAP som en basform av säkerhet. Å andra sidan kan hackare använda sådana verktyg som Wireshark på Wi-Fi-anslutningar, och för att vara säkra bör alla användare använda tjänsterna från en premium VPN-leverantör.
om en VPN kan dölja hackarna kan du också dölja din information från alla andra.
