PCAP: pakešu uztveršana, kas tas ir un kas jums jāzina

PCAP: pakešu uztveršana, kas tas ir un kas jums jāzina


Pakešu uztveršana vai PCAP (pazīstams arī kā libpcap) ir lietojumprogrammu saskarne (API), kas uztver tiešos tīkla pakešdatus no OSI modeļa 2. – 7. slāņa. Tīkla analizatori, piemēram, Wireshark, izveido .pcap failus, lai savāktu un reģistrētu pakešdatus no tīkla. PCAP ir pieejams dažādos formātos, ieskaitot Libpcap, WinPcap, un PCAPng.

Šos PCAP failus var izmantot, lai apskatītu TCP / IP un UDP tīkla paketes. Ja vēlaties reģistrēt tīkla trafiku, jums jāizveido .pcapfile. Jūs varat izveidot .pcapfile, izmantojot tīkla analizatoru vai pakešu sniffing rīku, piemēram, Wireshark vai tcpdump. Šajā rakstā mēs apskatīsim, kas ir PCAP un kā tas darbojas.

Kāpēc man ir jāizmanto PCAP?? 

PCAP ir vērtīgs resurss failu analīzei un tīkla trafika uzraudzībai. Pakešu vākšanas rīki, piemēram, Wireshark, ļauj apkopot tīkla trafiku un tulkot to cilvēkam lasāmā formātā. Ir daudz iemeslu, kāpēc PCAP tiek izmantots tīklu uzraudzībai. Daži no visizplatītākajiem ir joslas platuma lietojuma uzraudzība, negodīgu DHCP serveru identificēšana, ļaunprātīgas programmatūras noteikšana, DNS izšķirtspēja un negadījumu reakcija.

Tīkla administratoriem un drošības pētniekiem pakešdatu analīze ir labs veids, kā atklāt tīkla uzlaušanas un citas aizdomīgas darbības. Piemēram, ja avots tīklam sūta daudz ļaunprātīgas datplūsmas, varat to identificēt programmatūras aģentā un pēc tam rīkoties, lai novērstu uzbrukumu..

Kā darbojas pakešu snifferis??

Wireshark displeja filtrs

PCAP failu uztveršanai jāizmanto pakešu snifferis. Pakešu sniffer uztver paketes un noformē tās viegli saprotamā veidā. Izmantojot PCAP sniffer, vispirms jums jāidentificē, kādu saskarni vēlaties nokost. Ja atrodaties Linux ierīcē, tā varētu būt eth0 vai wlan0. Jūs varat izvēlēties interfeisu ar ifconfig komanda.

Kad esat zinājis, kādu saskarni vēlaties nokost, varat izvēlēties, kāda veida trafiku vēlaties pārraudzīt. Piemēram, ja vēlaties pārraudzīt tikai TCP / IP paketes, varat to izveidot. Daudzi rīki piedāvā filtrus, kas ļauj kontrolēt jūsu apkopoto trafiku.

Piemēram, Wireshark ļauj filtrēt redzamo trafika veidu ar uztveršanas filtriem un displeja filtriem. Uztveršanas filtri ļauj filtrēt uztverto trafiku, bet displeja filtri ļauj filtrēt redzamo trafiku. Piemēram, jūs varat filtrēt protokolus, plūsmas vai resursdatorus.

Kad esat apkopojis filtrēto trafiku, varat sākt meklēt veiktspējas problēmas. Mērķtiecīgākai analīzei varat arī filtrēt, pamatojoties uz avota un mērķa ostām, lai pārbaudītu noteiktus tīkla elementus. Pēc tam visu notverto informāciju var izmantot tīkla veiktspējas problēmu novēršanai.

PCAP versijas

Kā minēts iepriekš, ir daudz dažādu PCAP failu veidu, tostarp:

  • Libpcap
  • WinPcap
  • PCAPng
  • Npcap

Katrai versijai ir savi lietošanas gadījumi, un dažāda veida tīkla uzraudzības rīki atbalsta dažādas PCAP failu formas. Piemēram, Libpcap ir portatīva atvērtā koda c / C ++ bibliotēka, kas paredzēta Linux un Mac OS lietotājiem. Libpcap ļauj administratoriem tvert un filtrēt paketes. Pakešu sniffing rīki, piemēram, tcpdump, izmanto Libpcap formātu.

Windows lietotājiem ir WinPcap formāts. WinPcap ir vēl viena portatīva pakešu uztveršanas bibliotēka, kas paredzēta Windows ierīcēm. WinpCap var arī uztvert un filtrēt no tīkla savāktās paketes. Rīki, piemēram Wireshark, Nmap, un Snort izmantojiet WinPCap, lai uzraudzītu ierīces, bet pats protokols ir pārtraukts.

Pcapng vai .pcap nākamās paaudzes uztveršanas faila formāts ir sarežģītāka PCAP versija, kurai pēc noklusējuma ir Wireshark. Pcapng var iegūt un saglabāt datus. Apkopoto datu veids pcapng ietver pagarinātu laika spiedoga precizitāti, lietotāju komentārus un uztveršanas statistiku, lai lietotājam sniegtu papildu informāciju.

Tādos rīkos kā Wireshark tiek izmantots PCAPng, jo tas var ierakstīt vairāk informācijas nekā PCAPng. Tomēr PCAPng problēma ir tā, ka tā nav savietojama ar tik daudziem rīkiem kā PCAP.

Npcap ir portatīva Windows pakešu šņaukšanas bibliotēka, ko ražo Nmap, viens no pazīstamākajiem pakešu šņaukšanas pakalpojumu sniedzējiem. Bibliotēka ir ātrāka un drošāka nekā WinpCap. Npcap atbalsta operētājsistēmu Windows 10 un cilpas pakešu uztveršanas injekciju, lai jūs varētu sūtīt un šņaukāt cilpas atpakaļ paketes. Npcap atbalsta arī Wireshark.

Pakešu uztveršanas un PCAP priekšrocības 

Lielākā pakešu notveršanas priekšrocība ir tā, ka tā nodrošina redzamību. Lai precīzi noteiktu tīkla problēmu galveno cēloni, varat izmantot pakešdatus. Varat pārraudzīt trafika avotus un identificēt lietojumprogrammu un ierīču lietošanas datus. PCAP dati sniedz jums reāllaika informāciju, kas jums nepieciešama, lai atrastu un atrisinātu veiktspējas problēmas, lai tīkls darbotos arī pēc drošības notikuma.

Piemēram, jūs varat noteikt, kur kāda ļaunprātīgas programmatūras daļa ir pārkāpusi tīklu, izsekojot ļaunprātīgas datplūsmas un citu ļaunprātīgu komunikāciju plūsmai. Bez PCAP un pakešu uztveršanas rīka būtu grūtāk izsekot paketēm un pārvaldīt drošības riskus.

PCAP kā vienkārša faila formāta priekšrocība ir saderība ar gandrīz jebkuru pakešu šņaukšanas programmu, par kuru jūs varat iedomāties, ar virkni versiju operētājsistēmām Windows, Linux un Mac OS. Pakešu uztveršanu var izmantot gandrīz jebkurā vidē.

Pakešu uztveršanas un PCAP trūkumi 

Lai arī pakešu uztveršana ir vērtīgs uzraudzības paņēmiens, tai ir savi ierobežojumi. Pakešu analīze ļauj uzraudzīt tīkla trafiku, bet neuzrauga visu. Ir daudz kiberuzbrukumu, kas netiek aizsākti, izmantojot tīkla trafiku, tāpēc jums ir nepieciešami citi drošības pasākumi.

Piemēram, daži uzbrucēji izmanto USB un citus aparatūras uzbrukumus. Rezultātā PCAP failu analīzei vajadzētu būt daļai no jūsu tīkla drošības stratēģijas, taču tā nedrīkst būt jūsu vienīgā aizsardzības līnija..

Vēl viens būtisks šķērslis pakešu uztveršanai ir šifrēšana. Daudzi kiberuzbrucēji izmanto šifrētus sakarus, lai sāktu uzbrukumus tīkliem. Šifrēšana neļauj pakešu snifferim piekļūt trafika datiem un identificēt uzbrukumus. Tas nozīmē, ka šifrēti uzbrukumi slīdēs zem radara, ja paļaujaties uz PCAP.

Pastāv arī problēma ar to, kur atrodas pakešu snifferis. Ja pakešu snifferis ir novietots tīkla malā, tas ierobežo lietotāja redzamības līmeni. Piemēram, lietotājs var nepamanīt DDoS uzbrukuma sākumu vai ļaunprātīgas programmatūras uzliesmojumu. Turklāt, pat ja jūs apkopojat datus tīkla centrā, ir svarīgi pārliecināties, ka jūs apkopojat visas sarunas, nevis kopsavilkuma datus..

Atvērtā pirmkoda pakešu analīzes rīks: kā Wireshark izmanto PCAP failus? 

Wireshark ir vispopulārākais trafika analizators pasaulē. Wireshark izmanto .pcap failus, lai ierakstītu pakešdatus, kas iegūti no tīkla skenēšanas. Pakešdati tiek ierakstīti failos ar .pcap faila paplašinājumu, un tos var izmantot, lai tīklā atrastu veiktspējas problēmas un kiberuzbrukumus..

Citiem vārdiem sakot, PCAP fails izveido tīkla datu ierakstu, kuru varat apskatīt, izmantojot Wireshark. Pēc tam jūs varat novērtēt tīkla statusu un noteikt, vai ir kādi pakalpojumu jautājumi, uz kuriem jums jāreaģē.

Ir svarīgi atzīmēt, ka Wireshark nav vienīgais rīks, kas var atvērt .pcap failus. Citas plaši izmantotas alternatīvas ir tcpdump un WinDump, tīkla uzraudzības rīki, kas arī izmanto PCAP, lai palielinātu attēlu ar tīkla veiktspēju.

Patentēta pakešu analīzes rīka piemērs

SolarWinds tīkla veiktspējas monitors (BEZMAKSAS IZMĒRS)

SolarWinds Network Performance Monitor ekrānuzņēmums

SolarWinds tīkla veiktspējas monitors ir tīkla uzraudzības rīka piemērs, kas var uztvert PCAP datus. Jūs varat instalēt programmatūru ierīcē un pēc tam uzraudzīt pakešdatus, kas izvilkti no visa tīkla. Pakešdati ļaus izmērīt tīkla reakcijas laiku un diagnosticēt uzbrukumus.

Lietotājs var apskatīt pakešdatus, izmantojot Pieredzes kvalitātes informācijas panelis, kas ietver tīkla veiktspējas kopsavilkumu. Grafiskie displeji ļauj vieglāk precīzi noteikt trafika punktus vai ļaunprātīgu satiksmi, kas varētu norādīt uz kiberuzbrukumu.

Programmas izkārtojums arī ļauj lietotājam diferencēt lietojumprogrammas pēc to apstrādātā trafika apjoma. Tādi faktori kā Vidējais tīkla reakcijas laiks, Vidējais pieteikuma reakcijas laiks, Kopējais datu apjoms, un Kopējais darījumu skaits palīdziet lietotājam sekot līdzi tīkla izmaiņām, kad tās notiek tiešraidē. Lejupielādēšanai ir pieejams arī 30 dienu bezmaksas izmēģinājums.

SolarWinds tīkla veiktspējas monitorsLejupielādējiet 30 dienu bezmaksas izmēģinājuma versiju

PCAP failu analīze: uzbrukumu noķeršana tīkla trafikā 

Pakešu kodināšana ir obligāta jebkurai organizācijai, kurai ir tīkls. PCAP faili ir viens no tiem resursiem, kuru tīkla administratori var izmantot, lai veiktu veiktspējas mikroskopu un atklātu uzbrukumus. Pakešu notveršana palīdzēs ne tikai nokļūt uzbrukumu pamatcēloņos, bet arī palīdzēs lēnas darbības traucējummeklēšanai..

Atvērtā pirmkoda pakešu uztveršanas rīki, piemēram, Wireshark un tcpdump, tīkla administratoriem nodrošina rīkus, kas novērš sliktu tīkla veiktspēju, netērējot laimi. Ir arī virkne patentētu rīku uzņēmumiem, kuri vēlas uzlabot pakešu analīzes pieredzi.

Izmantojot PCAP failus, lietotājs var pieteikties pakešu snifferī, lai savāktu trafika datus un redzētu, kur tiek patērēti tīkla resursi. Pareizo filtru izmantošana arī ievērojami atvieglos baltā trokšņa novēršanu un nozīmīgāko datu uzlabošanu.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

+ 39 = 47

map