PCAP: Packet Capture, hva det er og hva du trenger å vite

PCAP: Packet Capture, hva det er og hva du trenger å vite


Pakkefangst eller PCAP (også kjent som libpcap) er et applikasjonsprogrammeringsgrensesnitt (API) som fanger opp live nettverkspakkedata fra OSI-modellen lag 2-7. Nettverksanalysatorer som Wireshark lager .cap-filer for å samle og registrere pakkedata fra et nettverk. PCAP kommer i en rekke formater, inkludert libpcap, WinPcap, og PCAPng.

Disse PCAP-filene kan brukes til å vise TCP / IP- og UDP-nettverkspakker. Hvis du vil registrere nettverkstrafikk, må du opprette en .pcapfile. Du kan lage en .pcapfile ved å bruke en nettverksanalysator eller pakkesniffeverktøy som Wireshark eller tcpdump. I denne artikkelen skal vi se på hva PCAP er, og hvordan det fungerer.

Hvorfor trenger jeg å bruke PCAP? 

PCAP er en verdifull ressurs for filanalyse og for å overvåke nettverkstrafikken din. Pakkesamlingsverktøy som Wireshark lar deg samle nettverkstrafikk og oversette den til et format som er menneskelig leselig. Det er mange grunner til at PCAP brukes til å overvåke nettverk. Noe av det vanligste inkluderer overvåking av båndbreddebruk, identifisering av useriøse DHCP-servere, påvisning av skadelig programvare, DNS-oppløsning og respons på hendelser.

For nettverksadministratorer og sikkerhetsforskere er pakkefileanalyse en god måte å oppdage nettverksinntrengelser og annen mistenkelig aktivitet. For eksempel, hvis en kilde sender nettverket mye ondsinnet trafikk, kan du identifisere det på programvareagenten og deretter iverksette tiltak for å bøte på angrepet.

Hvordan fungerer en pakkesniffer?

Wireshark displayfilter

For å fange PCAP-filer må du bruke en pakkesniffer. En pakkesniffer fanger pakker og presenterer dem på en måte som er lett å forstå. Når du bruker en PCAP-sniffer, er det første du trenger å gjøre å identifisere hvilket grensesnitt du vil snuse på. Hvis du er på en Linux-enhet, kan dette være eth0 eller wlan0. Du kan velge et grensesnitt med ifconfig kommando.

Når du vet hvilket grensesnitt du vil snuse, kan du velge hvilken type trafikk du vil overvåke. Hvis du for eksempel bare vil overvåke TCP / IP-pakker, kan du opprette regler for å gjøre dette. Mange verktøy tilbyr filtre som lar deg kontrollere hvilken trafikk du samler inn.

For eksempel lar Wireshark deg filtrere den typen trafikk du ser med fangstfilter og visningsfilter. Fangsfiltre lar deg filtrere hvilken trafikk du fanger opp og vise filtre, slik at du kan filtrere hvilken trafikk du ser. Du kan for eksempel filtrere protokoller, flyter eller verter.

Når du har samlet den filtrerte trafikken, kan du begynne å se etter ytelsesproblemer. For mer målrettet analyse kan du også filtrere basert på kildeporter og destinasjonsporter for å teste bestemte nettverkselementer. All fanget informasjon kan deretter brukes til å feilsøke ytelsesproblemer i nettverket.

Versjoner av PCAP

Som nevnt over er det mange forskjellige typer PCAP-filer, inkludert:

  • libpcap
  • WinPcap
  • PCAPng
  • Npcap

Hver versjon har egen brukssaker, og forskjellige typer nettverksovervåkningsverktøy støtter forskjellige former for PCAP-filer. For eksempel er Libpcap et bærbart åpen kildekode c / C ++ -bibliotek designet for Linux- og Mac OS-brukere. Libpcap gjør det mulig for administratorer å fange opp og filtrere pakker. Pakkesniffeverktøy som tcpdump bruker Libpcap-formatet.

For Windows-brukere er det WinPcap-formatet. WinPcap er et annet bærbart pakkefangstbibliotek designet for Windows-enheter. WinpCap kan også fange og filtrere pakker samlet fra nettverket. Verktøy som Wireshark, nmap, og Snort bruk WinPCap for å overvåke enheter, men selve protokollen er avviklet.

Pcapng eller .pcap Next Generation Capture File Format er en mer avansert versjon av PCAP som leveres som standard med Wireshark. Pcapng kan fange og lagre data. Den typen data pcapng samler inn inkluderer utvidet tidsstempelpresisjon, brukerkommentarer og fangststatistikk for å gi brukeren ytterligere informasjon.

Verktøy som Wireshark bruker PCAPng fordi det kan registrere mer informasjon enn PCAP. Problemet med PCAPng er imidlertid at det ikke er kompatibelt med så mange verktøy som PCAP.

Npcap er et bærbart pakkesniffbibliotek for Windows produsert av Nmap, en av de mest kjente leverandørene av pakkesniffing. Biblioteket er raskere og sikrere enn WinpCap. Npcap har støtte for Windows 10 og innpakning av loopback-pakkefangst slik at du kan sende og snuse loopback-pakker. Npcap støttes også av Wireshark.

Fordeler med pakkefangst og PCAP 

Den største fordelen med pakkefangst er at det gir synlighet. Du kan bruke pakkedata for å kartlegge årsaken til nettverksproblemer. Du kan overvåke trafikkilder og identifisere bruksdata for applikasjoner og enheter. PCAP-data gir deg sanntidsinformasjonen du trenger for å finne og løse ytelsesproblemer for å holde nettverket fungerer etter en sikkerhetshendelse.

Du kan for eksempel identifisere hvor et stykke malware brøt nettverket ved å spore flyten av ondsinnet trafikk og annen ondsinnet kommunikasjon. Uten PCAP og et pakkefangstverktøy, ville det være vanskeligere å spore pakker og håndtere sikkerhetsrisikoer.

Som et enkelt filformat har PCAP fordelen av å være kompatibel med nesten ethvert pakkesniffingsprogram du kan tenke på, med en rekke versjoner for Windows, Linux og Mac OS. Pakkefangst kan distribueres i nesten alle omgivelser.

Ulemper ved pakkefangst og PCAP 

Selv om pakkefangst er en verdifull overvåkningsteknikk, har den sine begrensninger. Pakkeanalyse lar deg overvåke nettverkstrafikk, men overvåker ikke alt. Det er mange nettangrep som ikke lanseres gjennom nettverkstrafikk, så du må ha andre sikkerhetstiltak på plass.

Noen angripere bruker for eksempel USB-er og andre maskinvarebaserte angrep. Som en konsekvens bør PCAP-filanalyse utgjøre en del av nettverkssikkerhetsstrategien, men den bør ikke være din eneste forsvarslinje.

En annen betydelig hindring for pakkingstaking er kryptering. Mange cyberangrepere bruker kryptert kommunikasjon for å starte angrep på nettverk. Kryptering forhindrer at pakkesniffen din kan få tilgang til trafikkdata og identifisere angrep. Det betyr at krypterte angrep vil skli under radaren hvis du er avhengig av PCAP.

Det er også et problem med hvor pakkesniffen ligger. Hvis en pakkesniffer plasseres i kanten av nettverket, vil dette begrense synligheten for en bruker. For eksempel kan det hende at brukeren ikke klarer å oppdage starten på et DDoS-angrep eller utbrudd av skadelig programvare. Videre, selv om du samler inn data i sentrum av nettverket, er det viktig å sørge for at du samler inn hele samtaler fremfor sammendragsdata.

Open Source Packet Analysis Tool: Hvordan bruker Wireshark PCAP-filer? 

Wireshark er den mest populære trafikkanalysatoren i verden. Wireshark bruker .cap-filer for å registrere pakkedata som er trukket fra en nettverksskanning. Pakkedata blir spilt inn i filer med filtypen .pcap og kan brukes til å finne ytelsesproblemer og cyberattacks i nettverket.

Med andre ord oppretter PCAP-filen en registrering av nettverksdata som du kan se gjennom Wireshark. Du kan deretter vurdere statusen til nettverket og identifisere om det er noen serviceproblemer du må svare på.

Det er viktig å merke seg at Wireshark ikke er det eneste verktøyet som kan åpne .pcap-filer. Andre mye brukte alternativer inkluderer tcpdump og WinDump, nettverksovervåkingsverktøy som også bruker PCAP for å ta et forstørrelsesglass til nettverksytelsen.

Eksempel på proprietær analyseverktøy

SolarWinds Network Performance Monitor (GRATIS PRØVE)

SolarWinds Network Performance Monitor-skjermbilde

SolarWinds Network Performance Monitor er et eksempel på et nettverksovervåkningsverktøy som kan fange opp PCAP-data. Du kan installere programvaren på en enhet og deretter overvåke pakkedata trukket fra hele nettverket. Pakkedataene lar deg måle responstiden til nettverket og diagnostisere angrep.

Brukeren kan se pakkedata gjennom Kvalitet på opplevelsespanel, som inkluderer et sammendrag av nettverksytelsen. Grafiske skjermer gjør det lettere å finne pigger i trafikken eller ondsinnet trafikk som kan indikere et cyberangrep.

Oppsettet av programmet gjør det også mulig for brukeren å skille applikasjoner ut fra mengden trafikk de behandler. Faktorer som Gjennomsnittlig svartid på nettverket, Gjennomsnittlig svarstid for søknad, Totalt datavolum, og Totalt antall transaksjoner hjelpe brukeren å holde seg oppdatert med endringer i nettverket når de oppstår live. Det er også en 30-dagers gratis prøveversjon tilgjengelig for nedlasting.

SolarWinds Network Performance MonitorLast ned 30-dagers GRATIS prøveversjon

PCAP-filanalyse: Fange angrep i nettverkstrafikk 

Pakkesniffing er et must for enhver organisasjon som har et nettverk. PCAP-filer er en av ressursene som nettverksadministratorer kan bruke til å ta et mikroskop for å utføre og oppdage angrep. Å fange pakker vil ikke bare bidra til å komme til bunns i grunnårsaken til angrep, men også bidra til å feilsøke treg ytelse.

Open source pakkefangstverktøy som Wireshark og tcpdump gir nettverksadministratorer verktøyene til å avhjelpe dårlig nettverksytelse uten å bruke en formue. Det finnes også en rekke proprietære verktøy for selskaper som ønsker en mer avansert pakkeanalyserfaring.

Gjennom kraften fra PCAP-filer kan en bruker logge på en pakkesniffer samle trafikkdata og se hvor nettverksressurser forbrukes. Å bruke riktige filtre vil også gjøre det mye enklere å eliminere den hvite støyen og finpusse på de viktigste dataene.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

4 + 6 =