PCAP: Packet Capture, wat het is & wat u moet weten

PCAP: Packet Capture, wat het is & wat u moet weten


Pakket vastleggen of PCAP (ook bekend als libpcap) is een API (Application Programming Interface) waarmee pakketgegevens van het netwerk uit OSI-modellagen 2-7 worden vastgelegd. Netwerkanalysatoren zoals Wireshark maken .pcap-bestanden om pakketgegevens van een netwerk te verzamelen en op te nemen. PCAP is verkrijgbaar in verschillende formaten, waaronder libpcap, WinPcap, en PCAPng.

Deze PCAP-bestanden kunnen worden gebruikt om TCP / IP- en UDP-netwerkpakketten te bekijken. Als u netwerkverkeer wilt opnemen, moet u een .pcap-bestand maken. U kunt een .pcap-bestand maken met behulp van een netwerkanalysator of pakket-snuifprogramma zoals Wireshark of tcpdump. In dit artikel gaan we kijken wat PCAP is en hoe het werkt.

Waarom moet ik PCAP gebruiken?? 

PCAP is een waardevolle bron voor bestandsanalyse en om uw netwerkverkeer te controleren. Met pakketverzamelingstools zoals Wireshark kunt u netwerkverkeer verzamelen en vertalen naar een voor mensen leesbaar formaat. Er zijn veel redenen waarom PCAP wordt gebruikt om netwerken te controleren. Enkele van de meest voorkomende zijn het monitoren van bandbreedtegebruik, het identificeren van malafide DHCP-servers, het detecteren van malware, DNS-resolutie en reactie op incidenten.

Voor netwerkbeheerders en beveiligingsonderzoekers is pakketbestandanalyse een goede manier om netwerkinbraken en andere verdachte activiteiten te detecteren. Als een bron bijvoorbeeld veel kwaadaardig verkeer naar het netwerk verzendt, kunt u dat op de softwareagent identificeren en vervolgens actie ondernemen om de aanval te verhelpen.

Hoe werkt een packet sniffer?

Wireshark-weergavefilter

Om PCAP-bestanden vast te leggen, moet u een packet sniffer gebruiken. Een packet sniffer vangt pakketten op en presenteert ze op een manier die gemakkelijk te begrijpen is. Als u een PCAP-sniffer gebruikt, moet u eerst vaststellen op welke interface u wilt snuffelen. Als u een Linux-apparaat gebruikt, zou dit kunnen eth0 of wlan0. U kunt een interface selecteren met de opdracht ifconfig.

Zodra u weet welke interface u wilt snuiven, kunt u kiezen welk type verkeer u wilt controleren. Als u bijvoorbeeld alleen TCP / IP-pakketten wilt controleren, kunt u hiervoor regels maken. Veel tools bieden filters waarmee u kunt bepalen welk verkeer u verzamelt.

Met Wireshark kunt u bijvoorbeeld het type verkeer dat u ziet filteren met opnamefilters en weergavefilters. Met Capture-filters kunt u filteren welk verkeer u vastlegt en met filters kunt u filteren welk verkeer u ziet. U kunt bijvoorbeeld protocollen, flows of hosts filteren.

Nadat u het gefilterde verkeer heeft verzameld, kunt u gaan zoeken naar prestatieproblemen. Voor meer gerichte analyse kunt u ook filteren op basis van bronpoorten en doelpoorten om bepaalde netwerkelementen te testen. Alle vastgelegde informatie kan vervolgens worden gebruikt om problemen met de netwerkprestaties op te lossen.

Versies van PCAP

Zoals hierboven vermeld, zijn er veel verschillende soorten PCAP-bestanden, waaronder:

  • libpcap
  • WinPcap
  • PCAPng
  • Npcap

Elke versie heeft zijn eigen use-cases en verschillende soorten netwerkbewakingsprogramma's ondersteunen verschillende vormen van PCAP-bestanden. Libpcap is bijvoorbeeld een draagbare open-source c / C ++ bibliotheek ontworpen voor Linux- en Mac OS-gebruikers. Met Libpcap kunnen beheerders pakketten vastleggen en filteren. Pakket snuifgereedschap zoals tcpdump gebruikt het Libpcap-formaat.

Voor Windows-gebruikers is er het WinPcap-formaat. WinPcap is een andere draagbare pakketverzamelingbibliotheek die is ontworpen voor Windows-apparaten. WinpCap kan ook pakketten van het netwerk vastleggen en filteren. Hulpmiddelen zoals Wireshark, nmap, en snuiven gebruik WinPCap om apparaten te controleren, maar het protocol zelf is stopgezet.

Pcapng of .pcap Next Generation Capture File Format is een meer geavanceerde versie van PCAP die standaard wordt meegeleverd met Wireshark. Pcapng kan gegevens vastleggen en opslaan. Het type gegevens dat pcapng verzamelt, omvat uitgebreide tijdstempelprecisie, opmerkingen van gebruikers en vastlegstatistieken om de gebruiker aanvullende informatie te bieden.

Tools zoals Wireshark gebruiken PCAPng omdat het meer informatie kan opnemen dan PCAP. Het probleem met PCAPng is echter dat het niet met zoveel tools compatibel is als PCAP.

Npcap is een draagbare bibliotheek voor het snuiven van pakketten voor Windows, geproduceerd door Nmap, een van de meest bekende verkopers van pakketsnuiven. De bibliotheek is sneller en veiliger dan WinpCap. Npcap biedt ondersteuning voor Windows 10 en loopback packet capture-injectie zodat u loopback-pakketten kunt verzenden en snuiven. Npcap wordt ook ondersteund door Wireshark.

Voordelen van Packet Capturing en PCAP 

Het grootste voordeel van het vastleggen van pakketten is dat het zichtbaarheid verleent. U kunt pakketgegevens gebruiken om de oorzaak van netwerkproblemen te achterhalen. U kunt verkeersbronnen bewaken en de gebruiksgegevens van applicaties en apparaten identificeren. PCAP-gegevens geven u de realtime-informatie die u nodig hebt om prestatieproblemen te vinden en op te lossen om het netwerk na een beveiligingsgebeurtenis te laten functioneren.

U kunt bijvoorbeeld identificeren waar een stukje malware het netwerk heeft overtreden door de stroom van kwaadaardig verkeer en andere kwaadaardige communicatie te volgen. Zonder PCAP en een tool voor het vastleggen van pakketten zou het moeilijker zijn om pakketten te volgen en beveiligingsrisico's te beheren.

Als een eenvoudig bestandsformaat heeft PCAP het voordeel dat het compatibel is met bijna elk pakket snuifprogramma dat u kunt bedenken, met een reeks versies voor Windows, Linux en Mac OS. Pakketopname kan in vrijwel elke omgeving worden ingezet.

Nadelen van Packet Capturing en PCAP 

Hoewel het vastleggen van pakketten een waardevolle bewakingstechniek is, heeft het zijn beperkingen. Met pakketanalyse kunt u netwerkverkeer volgen, maar niet alles. Er zijn veel cyberaanvallen die niet via netwerkverkeer worden gestart, dus u moet andere beveiligingsmaatregelen treffen.

Sommige aanvallers gebruiken bijvoorbeeld USB's en andere hardware-gebaseerde aanvallen. Bijgevolg moet PCAP-bestandsanalyse deel uitmaken van uw netwerkbeveiligingsstrategie, maar dit moet niet uw enige verdedigingslinie zijn.

Een ander belangrijk obstakel voor het vastleggen van pakketten is codering. Veel cyberaanvallers gebruiken gecodeerde communicatie om aanvallen op netwerken uit te voeren. Versleuteling voorkomt dat uw pakket sniffer toegang heeft tot verkeersgegevens en aanvallen kan identificeren. Dat betekent dat gecodeerde aanvallen onder de radar vallen als u op PCAP vertrouwt.

Er is ook een probleem met waar de packet sniffer zich bevindt. Als een packet sniffer aan de rand van het netwerk wordt geplaatst, beperkt dit de hoeveelheid zichtbaarheid die een gebruiker heeft. De gebruiker kan bijvoorbeeld het begin van een DDoS-aanval of uitbraak van malware niet herkennen. Bovendien is het, zelfs als u gegevens in het midden van het netwerk verzamelt, belangrijk om ervoor te zorgen dat u volledige gesprekken verzamelt in plaats van samenvattende gegevens.

Open Source Packet Analysis Tool: hoe gebruikt Wireshark PCAP-bestanden? 

Wireshark is de populairste verkeersanalysator ter wereld. Wireshark gebruikt .pcap-bestanden om pakketgegevens op te nemen die zijn opgehaald uit een netwerkscan. Pakketgegevens worden opgenomen in bestanden met de .pcap-bestandsextensie en kunnen worden gebruikt om prestatieproblemen en cyberaanvallen op het netwerk te vinden.

Met andere woorden, het PCAP-bestand maakt een record van netwerkgegevens die u via Wireshark kunt bekijken. Vervolgens kunt u de status van het netwerk beoordelen en vaststellen of er serviceproblemen zijn waarop u moet reageren.

Het is belangrijk op te merken dat Wireshark niet de enige tool is die .pcap-bestanden kan openen. Andere veel gebruikte alternatieven zijn tcpdump en WinDump, netwerkbewakingsprogramma's die ook PCAP gebruiken om een ​​vergrootglas naar netwerkprestaties te brengen.

Voorbeeld van een eigen pakketanalysetool

SolarWinds Network Performance Monitor (GRATIS PROEF)

Schermafbeelding SolarWinds Network Performance Monitor

SolarWinds Netwerkprestatiemeter is een voorbeeld van een netwerkbewakingsprogramma dat PCAP-gegevens kan vastleggen. U kunt de software op een apparaat installeren en vervolgens pakketgegevens controleren die uit het hele netwerk zijn gehaald. Met de pakketgegevens kunt u de responstijd van het netwerk meten en aanvallen diagnosticeren.

De gebruiker kan pakketgegevens bekijken via de Quality of Experience dashboard, die een samenvatting van netwerkprestaties bevat. Grafische weergaven maken het eenvoudiger om pieken in het verkeer of kwaadaardig verkeer te identificeren die kunnen wijzen op een cyberaanval.

De lay-out van het programma stelt de gebruiker ook in staat om applicaties te differentiëren op basis van de hoeveelheid verkeer die ze verwerken. Factoren zoals Gemiddelde netwerkresponstijd, Gemiddelde reactietijd van de applicatie, Totaal gegevensvolume, en Totaal aantal transacties help de gebruiker om op de hoogte te blijven van wijzigingen in het netwerk wanneer deze live optreden. Er is ook een gratis proefversie van 30 dagen beschikbaar om te downloaden.

SolarWinds Network Performance Monitor Download 30-dagen GRATIS proefversie

PCAP-bestandsanalyse: aanvallen in netwerkverkeer opvangen 

Pakket snuiven is een must voor elke organisatie die een netwerk heeft. PCAP-bestanden zijn een van die bronnen die netwerkbeheerders kunnen gebruiken om een ​​microscoop voor prestaties te nemen en aanvallen te ontdekken. Het vastleggen van pakketten helpt niet alleen om de onderliggende oorzaak van aanvallen te achterhalen, maar helpt ook bij het oplossen van trage prestaties.

Open source packet capture-tools zoals Wireshark en tcpdump geven netwerkbeheerders de tools om slechte netwerkprestaties te verhelpen zonder een fortuin uit te geven. Er is ook een reeks eigen tools voor bedrijven die een meer geavanceerde pakketanalyse-ervaring willen.

Door de kracht van PCAP-bestanden kan een gebruiker inloggen op een pakket sniffer verkeersgegevens verzamelen en zien waar netwerkbronnen worden verbruikt. Het gebruik van de juiste filters maakt het ook veel eenvoudiger om de witte ruis te elimineren en de belangrijkste gegevens aan te scherpen.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

7 + 1 =