PCAP: Улавяне на пакети, какво е това и какво трябва да знаете
Какво е PCAP?
Улавяне на пакетиилиPCAP(известен също като libpcap) е интерфейс за програмиране на приложения (API), който улавя живи мрежови пакетни данни от OSI модел Слоеве 2-7. Мрежови анализатори като Wireshark създават .pcap файлове за събиране и запис на пакети данни от мрежа. PCAP се предлага в редица формати, включителноLibpcap,WinPcap, иPCAPng.
Тези PCAP файлове могат да се използват за преглед на TCP/IP и UDP мрежови пакети. Ако искате да записвате мрежов трафик, трябва да създадете .pcapfile. Можете да създадете .pcapfile с помощта на мрежов анализатор или инструмент за подслушване на пакети като Wireshark или tcpdump . В тази статия ще разгледаме какво е PCAP и как работи.
Свързана публикация: Моделът OSI е обяснен
Защо трябва да използвам PCAP?
PCAP е ценен ресурс за анализ на файлове и за наблюдение на вашия мрежов трафик. Инструментите за събиране на пакети като Wireshark ви позволяват да събирате мрежов трафик и да го превеждате във формат, който е четим от хора. Има много причини, поради които PCAP се използва за наблюдение на мрежи. Някои от най-често срещаните включват наблюдение на използването на честотната лента, идентифициране на измамни DHCP сървъри, откриване на злонамерен софтуер, DNS разрешаване и реакция при инциденти.
За мрежови администратори и изследователи по сигурността анализът на пакетните файлове е добър начин за откриване на прониквания в мрежата и друга подозрителна дейност. Например, ако източникът изпраща към мрежата много злонамерен трафик, можете да идентифицирате това в софтуерния агент и след това да предприемете действия за отстраняване на атаката.
Как работи Packet Sniffer?
За да заснемете PCAP файлове, трябва да използвате снифър за пакети. Снифър за пакети улавя пакети и ги представя по начин, който е лесен за разбиране. Когато използвате PCAP снифър, първото нещо, което трябва да направите, е да определите какъв интерфейс искате да снифирате. Ако използвате устройство с Linux, това може да е такаeth0илиwlan0. Можете да изберете интерфейс скоманда ifconfig.
След като разберете какъв интерфейс искате да подушите, можете да изберете какъв тип трафик искате да наблюдавате. Например, ако искате да наблюдавате само TCP/IP пакети, можете да създадете правила за това. Много инструменти предлагат филтри, които ви позволяват да контролирате какъв трафик събирате.
Използване на Wireshark за улавяне и анализ на PCAP файлове
Например Wireshark ви позволява да филтрирате типа трафик, който виждате, с филтри за улавяне и филтри за показване. Филтрите за улавяне ви позволяват да филтрирате трафика, който улавяте, а филтрите за показване ви позволяват да филтрирате трафика, който виждате. Например можете да филтрирате мрежови протоколи, потоци или хостове.
След като съберете филтрирания трафик, можете да започнете да търсите проблеми с производителността. За по-целенасочен анализ можете също да филтрирате въз основа на портове източник и портове на местоназначение, за да тествате определени мрежови елементи. След това цялата информация за заснетия пакет може да се използва за отстраняване на проблеми с производителността на мрежата.
Версии на PCAP
Както бе споменато по-горе, има много различни типове PCAP файлове, включително:
- Libpcap
- WinPcap
- PCAPng
- Npcap
Всяка версия има свои собствени случаи на употреба и различни видове инструменти за наблюдение на мрежата поддържат различни форми на PCAP файлове. Например Libpcap е преносима c/C++ библиотека с отворен код, предназначена за потребители на Linux и Mac OS. Libpcap позволява на администраторите да улавят и филтрират пакети. Инструментите за подслушване на пакети като tcpdump използват формата Libpcap.
За потребителите на Windows има формат WinPcap. WinPcap е друга преносима библиотека за улавяне на пакети, предназначена за устройства с Windows. WinpCap може също да улавя и филтрира пакети, събрани от мрежата. Инструменти катоWireshark,Nmap, иПръхтенеизползвайте WinPCap за наблюдение на устройства, но самият протокол е прекратен.
Pcapng или .pcap Next Generation Capture File Format е по-разширена версия на PCAP, която се доставя по подразбиране с Wireshark. Pcapng може да улавяисъхранява данни. Типът данни, които pcapng събира, включва разширена точност на клеймото за време, потребителски коментари и статистика за улавяне, за да предостави на потребителя допълнителна информация.
Инструменти като Wireshark използват PCAPng файлове, защото могат да записват повече информация от PCAP. Проблемът с PCAPng обаче е, че той не е съвместим с толкова инструменти, колкото PCAP.
Npcap е преносима библиотека за подслушване на пакети за Windows, произведена от Nmap, един от най-известните доставчици на подслушване на пакети. Библиотеката е по-бърза и по-сигурна от WinpCap. Npcap има поддръжка за Windows 10 и инжектиране на улавяне на пакети за обратна връзка, така че можете да изпращате и надушвате пакети за обратна връзка. Npcap се поддържа и от Wireshark.
Предимства на улавянето на пакети и PCAP
Най-голямото предимство на улавянето на пакети е, че предоставя видимост. Можете да използвате пакети данни, за да определите първопричината за мрежовите проблеми. Можете да наблюдавате източниците на трафик и да идентифицирате данните за употреба на приложения и устройства. PCAP данните ви дават информацията в реално време, от която се нуждаете, за да намерите и разрешите проблеми с производителността, за да поддържате функционирането на мрежата след събитие, свързано със сигурността.
Например, можете да идентифицирате къде част от злонамерен софтуер е нарушил мрежата, като проследите потока на злонамерен трафик и други злонамерени комуникации. Без PCAP и инструмент за улавяне на пакети би било по-трудно да се проследяват пакети и да се управляват рисковете за сигурността.
Като прост файлов формат PCAP има предимството да е съвместим с почти всяка програма за подслушване на пакети, за която можете да се сетите, с набор от версии за Windows, Linux и Mac OS. Улавянето на пакети може да се разгърне в почти всяка среда.
Недостатъци на улавянето на пакети и PCAP
Въпреки че улавянето на пакети е ценна техника за наблюдение, тя има своите ограничения. Анализът на пакетите ви позволява да наблюдавате мрежовия трафик, но не следи всичко. Много кибератаки не се стартират чрез мрежов трафик, така че трябва да имате други мерки за сигурност.
Например, някои нападатели използват USB и други хардуерни атаки. Следователно анализът на PCAP файлове трябва да съставлява част от вашата стратегия за мрежова сигурност, но не трябва да бъде единствената ви линия на защита.
Друга значителна пречка пред улавянето на пакети е криптирането. Много кибератаки използват криптирани комуникации, за да стартират атаки в мрежи. Шифроването не позволява на вашия снифър за пакети да има достъп до данни за трафика и да идентифицира атаки. Това означава, че криптираните атаки ще се промъкнат под радара, ако разчитате на PCAP.
Има също проблем с това къде се намира пакетният снифър. Ако снифър за пакети е поставен на ръба на мрежата, това ще ограничи степента на видимост на потребителя. Например, потребителят може да не забележи началото на DDoS атака или злонамерен софтуер. Освен това, дори ако събирате данни в центъра на мрежата, важно е да сте сигурни, че събирате цели разговори, а не обобщени данни.
Инструмент за анализ на пакети с отворен код: Как Wireshark използва PCAP файлове?
Wireshark е най-популярният анализатор на трафик в света. Wireshark използва .pcap файлове за запис на пакети данни, които са били изтеглени от мрежово сканиране. Пакетните данни се записват във файлове с файлово разширение .pcap и могат да се използват за намиране на проблеми с производителността и кибератаки в мрежата.
С други думи, PCAP файлът създава запис на мрежови данни, които можете да видите чрез Wireshark. След това можете да оцените състоянието на мрежата и да определите дали има проблеми с услугата, на които трябва да отговорите.
Важно е да се отбележи, че Wireshark не е единственият инструмент, който може да отваря .pcap файлове. Други широко използвани алтернативи включват tcpdump и WinDump, инструменти за наблюдение на мрежата, които също използват PCAP, за да направят лупа за ефективността на мрежата.
Пример за патентован инструмент за анализ на пакети
Монитор на мрежовата производителност на SolarWinds (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
Монитор на производителността на мрежата SolarWindsе пример за инструмент за наблюдение на мрежата, който може да улавя PCAP данни. Можете да инсталирате софтуера на устройство и след това да наблюдавате пакети данни, изтеглени от цялата мрежа. Пакетите данни ще ви позволят да измервате времето за реакция на мрежата и да диагностицирате атаки.
Основни функции:
- Използва WinPcap
- Обобщава пакетите данни
- Идентифицира протоколи
- Полезно за тестване на VoIP
- Работи на Windows Server
Потребителят може да преглежда пакетни данни чрез Табло за управление на качеството на изживяването , включително обобщение на производителността на мрежата. Графичните дисплеи улесняват откриването на пикове в интернет трафика или злонамерен трафик, които биха могли да показват кибератака.
Професионалисти:
- Показва пакети данни в списъци и графики
- Интерпретира заглавки на пакети за резюмета
- Показва статистика за трафика за добре познати приложения
- Показва средно и най-дълго време за реакция
- Подробности Качество на изживяване изпълнение
Минуси:
- Не показва необработени пакети
Оформлението на програмата също така позволява на потребителя да разграничава приложенията според количеството трафик, който обработват. Фактори катоСредно време за реакция на мрежата,Средно време за отговор на приложението,Общ обем данни, иОбщ брой транзакциипомогнете на потребителя да бъде в крак с промените в мрежата, когато се случват на живо. Има и 30-дневна безплатна пробна версия, достъпна за изтегляне.
SolarWinds Network Performance Monitor Изтеглете 30-дневна БЕЗПЛАТНА пробна версия
PCAP анализ на файлове: Улавяне на атаки в мрежовия трафик
Проучването на пакети е задължително за всяка организация, която има мрежа. PCAP файловете са един от онези ресурси, които мрежовите администратори могат да използват, за да вземат под микроскоп ефективността и да открият атаки. Улавянето на пакети не само ще помогне да се стигне до дъното на основната причина за атаките, но също така ще помогне за отстраняване на проблеми с мудната производителност.
Инструментите за улавяне на пакети с отворен код като Wireshark и tcpdump дават на мрежовите администратори инструментите за коригиране на лошата производителност на мрежата, без да харчат цяло състояние. Има също набор от собствени инструменти за компании, които искат по-усъвършенствано изживяване при анализ на пакети.
Чрез силата на PCAP файловете потребителят може да влезе в снифър за пакети, да събира данни за трафика и да вижда къде се консумират мрежови ресурси. Използването на правилните филтри също ще направи много по-лесно премахването на белия шум и усъвършенстването на най-важните данни.
ЧЗВ за заснемане на файлове с PCAP с
Колко файла получавам на ден за абонамент за PCAP?
PCAP не е абонаментна услуга. Повечето PCAP инструменти стартират заснемане на пакети при поискване, но е възможно да стартирате и прекратите сесия за улавяне чрез скрипт. Големият проблем с PCAP не е колко файлове получавате, а размерът на тези файлове – оставянето на сесия за улавяне на трафик да работи за повече от кратък период от време води до много, много големи количества съхранени данни.
Какво е нивото на точност за времево клеймо в PCAP?
Стандартът PCAP може да изрази времето до наносекунди – хиляда милионна част от секундата. Всички времеви клейма изразяват отместване от 1 януари 1970 г., 00:00:00 UTC.
Как работи Libpcap?
Libcap е API, което означава, че може да се управлява от други програми. Той предоставя серия от услуги, които позволяват улавянето на мрежови пакети. Libpcap е написан да работи на Unix и Unix-подобни системи, което включва Linux и macOS. Той чете всички пакети на мрежовия интерфейс на своето хост устройство. NIC трябва да бъде поставен в „безразборен режим“, за да бъде това ефективно. Това изключва филтъра, който намалява активността на NIC само до четене на пакети, адресирани до него, така че всички пакети, циркулиращи в мрежата, ще бъдат обработени.
Какво е обвивка на libpcap и каква е връзката му с PCAP?
Libpcap е написан на C. Той прилага PCAP и предоставя библиотека от извиквания на функции, които други програми могат да използват, за да извикат програмния код, съдържащ се във всяка функция в библиотеката. Не всички езици за програмиране са съвместими с конструкциите, използвани за извикване на функция Libpcap. Обвивката е просто функционална структура на родния език, която съществува единствено за извикване на функция Libpcap. Неговата цел е да интерпретира структурите от данни, за да направи извикванията на C функция достъпни за несъвместимия език за програмиране. Обвивките не се предоставят от библиотеката libpcap.
Какво трябва да търсите в инструментите за улавяне на пакети PCAP?
Прегледахме пазара за PCAP софтуер за улавяне на пакети и анализирахме опциите въз основа на следните критерии:
- Поддръжка за Libpcap, WinPcap, PCAPng, Npcap
- Опции за Windows, macOS и Linux
- Управление на файлове за съхранение на пакети
- Графични интерпретации на данни на живо
- Помощни програми за анализ на пакети
- Безплатен пробен период за безплатна оценка или безплатен инструмент
- Безплатни системи или платени инструменти с добра стойност за парите