PCAP: Zachytávanie paketov, čo to je a čo potrebujete vedieť

PCAP: Zachytávanie paketov, čo to je a čo potrebujete vedieť


Zachytávanie paketov alebo PCAP (známe tiež ako libpcap) je aplikačné programovacie rozhranie (API), ktoré zachytáva živé sieťové dáta paketov z OSI modelu Layers 2-7. Sieťové analyzátory ako Wireshark vytvárajú súbory .pcap na zhromažďovanie a zaznamenávanie paketových dát zo siete. PCAP sa dodáva v rôznych formátoch vrátane libpcap, WinPcap, a PCAPng.

Tieto súbory PCAP sa dajú použiť na prezeranie sieťových paketov TCP / IP a UDP. Ak chcete zaznamenať sieťový prenos, musíte vytvoriť súbor .pcapfile. Môžete vytvoriť súbor .pcapfile pomocou sieťového analyzátora alebo nástroja na zisťovanie paketov, napríklad Wireshark alebo tcpdump. V tomto článku sa pozrieme na to, čo je PCAP a ako to funguje.

Prečo musím používať PCAP? 

PCAP je cenným zdrojom na analýzu súborov a na monitorovanie sieťového prenosu. Nástroje na zhromažďovanie paketov, napríklad Wireshark, vám umožňujú zhromažďovať sieťovú prevádzku a prekladať ju do formátu, ktorý je čitateľný pre človeka. Existuje veľa dôvodov, prečo sa PCAP používa na monitorovanie sietí. Medzi najbežnejšie patria monitorovanie využívania šírky pásma, identifikácia nepoctivých serverov DHCP, detekcia škodlivého softvéru, rozlíšenie DNS a reakcia na incidenty..

Pre správcov sietí a výskumných pracovníkov v oblasti bezpečnosti je analýza paketových súborov dobrým spôsobom, ako zistiť narušenie siete a inú podozrivú aktivitu. Napríklad, ak zdroj posiela do siete veľa škodlivého prenosu, môžete to zistiť v softvérovom agentovi a potom podniknúť kroky na nápravu útoku.

Ako funguje paketový sniffer?

Filtr displeja Wireshark

Na zachytenie súborov PCAP musíte použiť identifikáciu paketov. Sniffer paketov zachytáva pakety a predstavuje ich ľahko zrozumiteľným spôsobom. Pri používaní programu PCAP je potrebné najskôr zistiť, na ktorom rozhraní chcete čuchať. Ak používate zariadenie so systémom Linux, mohli by to tak byť eth0 alebo wlan0. Rozhranie môžete zvoliť pomocou príkaz ifconfig.

Akonáhle budete vedieť, aké rozhranie chcete čuchať, môžete si vybrať, aký typ prenosu chcete sledovať. Napríklad, ak chcete monitorovať iba pakety TCP / IP, môžete na to vytvoriť pravidlá. Mnoho nástrojov ponúka filtre, ktoré vám umožňujú kontrolovať, akú návštevnosť zhromažďujete.

Napríklad Wireshark vám umožňuje filtrovať typ prevádzky, ktorý vidíte, pomocou zachytávacích filtrov a zobrazovacích filtrov. Filtre snímania vám umožňujú filtrovať, akú návštevnosť zachytávate, a filtre zobrazenia, ktoré vám umožňujú filtrovať, akú návštevnosť vidíte. Napríklad môžete filtrovať protokoly, toky alebo hostiteľov.

Po zhromaždení filtrovanej návštevnosti môžete začať hľadať problémy s výkonom. Pre cielenejšiu analýzu môžete filtrovať aj na základe zdrojových a cieľových portov na testovanie konkrétnych sieťových prvkov. Všetky zachytené informácie sa potom môžu použiť na riešenie problémov s výkonom siete.

Verzie PCAP

Ako je uvedené vyššie, existuje veľa rôznych typov súborov PCAP vrátane:

  • libpcap
  • WinPcap
  • PCAPng
  • Npcap

Každá verzia má svoje vlastné prípady použitia a rôzne typy nástrojov na monitorovanie siete podporujú rôzne formy súborov PCAP. Napríklad Libpcap je prenosná otvorená knižnica c / C ++ určená pre používateľov systému Linux a Mac OS. Libpcap umožňuje správcom zachytávať a filtrovať pakety. Nástroje na identifikáciu paketov, ako je tcpdump, používajú formát Libpcap.

Pre užívateľov Windows je k dispozícii formát WinPcap. WinPcap je ďalšia prenosná knižnica na zachytávanie paketov určená pre zariadenia Windows. WinpCap môže tiež zachytávať a filtrovať pakety zhromaždené zo siete. Nástroje ako Wireshark, nmap, a opäť normálne používať WinPCap na monitorovanie zariadení, ale samotný protokol bol zastavený.

Formát súboru Pcapng alebo .pcap Capture File Generation je pokročilejšou verziou PCAP, ktorá sa pri Wireshark štandardne dodáva. Pcapng dokáže zachytávať a ukladať údaje. Typ údajov, ktoré zhromažďuje pcapng, zahŕňa rozšírenú presnosť časovej pečiatky, komentáre používateľa a štatistiku zachytávania, aby sa používateľovi poskytli ďalšie informácie..

Nástroje ako Wireshark používajú PCAPng, pretože môžu zaznamenávať viac informácií ako PCAP. Problém s PCAPng je však v tom, že nie je kompatibilný s toľkými nástrojmi, ako je PCAP.

Npcap je prenosná knižnica na vyčnievanie paketov pre Windows, ktorú vytvorila spoločnosť Nmap, jeden z najznámejších dodávateľov čichajúcich paketov. Knižnica je rýchlejšia a bezpečnejšia ako WinpCap. Npcap má podporu pre injekcie zachytávania paketov so systémom Windows 10 a loopback, takže môžete odosielať a čuchať pakety so spätnou väzbou. Program Npcap podporuje aj program Wireshark.

Výhody zachytávania paketov a PCAP 

Najväčšou výhodou zachytávania paketov je, že poskytuje viditeľnosť. Pomocou paketových údajov môžete určiť hlavnú príčinu problémov so sieťou. Môžete monitorovať zdroje premávky a identifikovať údaje o používaní aplikácií a zariadení. Údaje PCAP vám poskytujú informácie v reálnom čase, ktoré potrebujete na nájdenie a vyriešenie problémov s výkonom, aby ste udržali fungovanie siete po bezpečnostnej udalosti.

Napríklad môžete zistiť, kde časť škodlivého softvéru narušila sieť sledovaním toku škodlivého prenosu a inej škodlivej komunikácie. Bez PCAP a nástroja na zachytávanie paketov by bolo ťažšie sledovať pakety a riadiť bezpečnostné riziká.

Výhodou PCAP ako jednoduchého formátu súborov je, že je kompatibilný s takmer akýmkoľvek programom na vyčnievanie paketov, s ktorým môžete uvažovať, s radom verzií pre Windows, Linux a Mac OS. Zachytávanie paketov je možné nasadiť takmer v akomkoľvek prostredí.

Nevýhody zachytávania paketov a PCAP 

Hoci je zachytávanie paketov cennou monitorovacou technikou, má svoje obmedzenia. Analýza paketov vám umožňuje sledovať sieťový prenos, ale nemonitoruje všetko. Existuje veľa počítačových útokov, ktoré sa nespúšťajú prostredníctvom sieťového prenosu, takže musíte mať zavedené ďalšie bezpečnostné opatrenia.

Niektorí útočníci napríklad používajú USB a iné hardvérové ​​útoky. V dôsledku toho by analýza súborov PCAP mala tvoriť súčasť vašej stratégie zabezpečenia siete, ale nemala by to byť vaša jediná obranná línia.

Ďalšou významnou prekážkou pri zachytávaní paketov je šifrovanie. Mnoho počítačových útočníkov používa šifrovanú komunikáciu na spustenie útokov na siete. Šifrovanie bráni vášmu paketovému snifferovi v prístupe k prevádzkovým údajom a identifikácii útokov. To znamená, že šifrované útoky skĺznu pod radar, ak sa spoliehate na PCAP.

Existuje tiež problém s tým, kde sa nachádza identifikátor paketov. Ak je identifikátor paketov umiestnený na okraji siete, obmedzí to viditeľnosť používateľa. Užívateľ môže napríklad zlyhať pri zisťovaní začiatku útoku DDoS alebo prepuknutia škodlivého softvéru. Okrem toho, aj keď zhromažďujete údaje v strede siete, je dôležité zabezpečiť, aby ste zhromažďovali celé konverzácie, nie súhrnné údaje..

Open Source Packet Analysis Tool: Ako používa Wireshark súbory PCAP? 

Wireshark je najobľúbenejší analyzátor dopravy na svete. Wireshark používa súbory .pcap na zaznamenanie paketových dát, ktoré boli vytiahnuté zo sieťového skenovania. Paketové dáta sa zaznamenávajú do súborov s príponou .pcap a môžu sa použiť na nájdenie problémov s výkonom a počítačových útokov v sieti..

Inými slovami, súbor PCAP vytvára záznam sieťových údajov, ktoré si môžete prezerať cez Wireshark. Potom môžete vyhodnotiť stav siete a zistiť, či existujú nejaké problémy so službami, na ktoré musíte reagovať.

Je dôležité si uvedomiť, že Wireshark nie je jediný nástroj, ktorý dokáže otvárať súbory .pcap. Medzi ďalšie široko používané alternatívy patria tcpdump a WinDump, nástroje na monitorovanie siete, ktoré tiež používajú PCAP na zväčšenie výkonu siete pomocou lupy..

Príklad proprietárneho nástroja na analýzu paketov

Monitor výkonu siete SolarWinds (BEZPLATNÁ SKÚŠKA)

Snímka obrazovky Monitor výkonu siete SolarWinds

Monitor výkonu siete SolarWinds je príkladom sieťového monitorovacieho nástroja, ktorý dokáže zachytiť údaje PCAP. Softvér môžete nainštalovať do zariadenia a potom sledovať paketové dáta vytiahnuté z celej siete. Paketové dáta vám umožnia zmerať čas odozvy siete a diagnostikovať útoky.

Užívateľ si môže prezerať paketové dáta cez internet Prístrojová doska kvality skúseností, ktorá obsahuje zhrnutie výkonu siete. Grafické displeje uľahčujú identifikáciu špičiek v premávke alebo škodlivej premávke, ktorá by mohla naznačovať kybernetický útok.

Usporiadanie programu tiež umožňuje užívateľovi rozlíšiť aplikácie podľa množstva prenosu, ktorý spracúvajú. Faktory ako Priemerný čas odozvy siete, Priemerný čas odozvy aplikácie, Celkový objem údajov, a Celkový počet transakcií Pomôžte používateľovi udržiavať krok so zmenami v sieti, keď sa vyskytnú naživo. K dispozícii je tiež 30-dňová bezplatná skúšobná verzia na stiahnutie.

SolarWinds Network Performance MonitorStiahnite 30-dňovú skúšobnú verziu ZDARMA

Analýza súborov PCAP: Zachytávanie útokov v sieťovej prevádzke 

Čichanie paketov je nevyhnutnosťou pre každú organizáciu, ktorá má sieť. Súbory PCAP sú jedným z tých zdrojov, ktoré správcovia siete môžu použiť na vykonanie mikroskopu na zistenie útokov. Zachytávanie paketov pomôže nielen dostať sa ku spodnej časti hlavnej príčiny útokov, ale tiež pomôže pri riešení slabého výkonu..

Nástroje na zachytávanie paketov s otvoreným zdrojom, ako sú Wireshark a tcpdump, poskytujú správcom siete nástroje na nápravu slabého výkonu siete bez výdavkov na šťastie. Existuje tiež celý rad proprietárnych nástrojov pre spoločnosti, ktoré chcú pokročilejšie skúsenosti s analýzou paketov.

Pomocou sily súborov PCAP sa používateľ môže prihlásiť k identifikátoru paketov, zhromažďovať prevádzkové údaje a sledovať, kde sú spotrebované sieťové zdroje. Použitím správnych filtrov bude tiež oveľa jednoduchšie odstrániť biely šum a zdokonaliť najdôležitejšie údaje.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

+ 81 = 88

map