PCAP: Packet Capture, hvad det er, og hvad du skal vide

Hvad er PCAP?

Packet Capture eller PCAP (også kendt som libpcap) er en programmeringsgrænseflade (API), der opfanger levende netværkspakkeoplysninger fra OSI-modellens lag 2-7. Netværksanalysatorer som Wireshark opretter .pcap-filer for at indsamle og registrere pakkedata fra et netværk. PCAP findes i en række forskellige formater, herunder Libpcap, WinPcap og PCAPng.

Disse PCAP-filer kan bruges til at se TCP/IP- og UDP-netværkspakker. Hvis du vil registrere netværkstrafik, skal du oprette en .pcap-fil. Du kan oprette en .pcapfil ved at bruge en netværksanalysator eller et værktøj til pakkesniffing som Wireshark eller tcpdump. I denne artikel vil vi se på, hvad PCAP er, og hvordan det fungerer.

Hvorfor skal jeg bruge PCAP?

PCAP er en værdifuld ressource til filanalyse og til at overvåge din netværkstrafik. Pakkeindsamlingsværktøjer som Wireshark giver dig mulighed for at indsamle netværkstrafik og oversætte den til et format, der kan læses af mennesker. Der er mange grunde til, at PCAP bruges til at overvåge netværk. Nogle af de mest almindelige omfatter overvågning af båndbreddeforbrug, identifikation af useriøse DHCP-servere, detektering af malware, DNS-opløsning og hændelsesrespons.

For netværksadministratorer og sikkerhedsforskere er pakkefilanalyse en god måde at opdage netværksindbrud og anden mistænkelig aktivitet på. Hvis en kilde f.eks. sender masser af skadelig trafik til netværket, kan du identificere det på softwareagenten og derefter træffe foranstaltninger til at afhjælpe angrebet.

Hvordan fungerer en pakkesniffer?

For at opsamle PCAP-filer skal du bruge en pakkesniffer. En pakkesniffer opfanger pakker og præsenterer dem på en måde, der er let at forstå. Når du bruger en PCAP-sniffer, skal du først og fremmest identificere, hvilken grænseflade du vil sniffe på. Hvis du er på en Linux-enhed kan disse være eth0 eller wlan0. Du kan vælge en grænseflade med kommandoen ifconfig.

Når du ved hvilken grænseflade du ønsker at sniffe, kan du vælge hvilken type trafik du ønsker at overvåge. Hvis du f.eks. kun ønsker at overvåge TCP/IP-pakker, kan du oprette regler for at gøre dette. Mange værktøjer tilbyder filtre, der giver dig mulighed for at kontrollere, hvilken trafik du indsamler.

Anvendelse af Wireshark til opsamling og analyse af PCAP-filer

Vireshark giver dig for eksempel mulighed for at filtrere den type trafik, du ser, med opsamlingsfiltre og visningsfiltre. Optagelsesfiltre giver dig mulighed for at filtrere, hvilken trafik du opfanger, og visningsfiltre giver dig mulighed for at filtrere, hvilken trafik du ser. Du kan f.eks. filtrere netværksprotokoller, flows eller værter.

Når du har indsamlet den filtrerede trafik, kan du begynde at lede efter problemer med ydeevnen. For at få en mere målrettet analyse kan du også filtrere baseret på kildeporte og destinationsporte for at teste bestemte netværkselementer. Alle de opfangede pakkeoplysninger kan derefter bruges til at fejlfinde problemer med netværkets ydeevne.

Versioner af PCAP

Som nævnt ovenfor findes der mange forskellige typer af PCAP-filer, herunder:

• Libpcap
• WinPcap
• PCAPng
• Npcap

Hver version har sine egne anvendelsesområder, og forskellige typer netværksovervågningsværktøjer understøtter forskellige former for PCAP-filer. Libpcap er f.eks. et bærbart open source c/C++-bibliotek designet til Linux- og Mac OS-brugere. Libpcap gør det muligt for administratorer at opsamle og filtrere pakker. Pakkesniffingsværktøjer som tcpdump bruger Libpcap-formatet.

For Windows-brugere er der WinPcap-formatet. WinPcap er et andet bærbart pakkeoptagelsesbibliotek, der er designet til Windows-enheder. WinpCap kan også opsamle og filtrere pakker, der er indsamlet fra netværket. Værktøjer som Wireshark, Nmap og Snort bruger WinPCap til at overvåge enheder, men selve protokollen er blevet nedlagt.

Pcapng eller .pcap Next Generation Capture File Format er en mere avanceret version af PCAP, som leveres som standard med Wireshark. Pcapng kan optage og gemme data. Den type data, som pcapng indsamler, omfatter udvidet tidsstempelpræcision, brugerkommentarer og capture-statistik for at give brugeren yderligere oplysninger.

Tools som Wireshark bruger PCAPng-filer, fordi de kan registrere flere oplysninger end PCAP. Problemet med PCAPng er imidlertid, at det ikke er kompatibelt med så mange værktøjer som PCAP.

Npcap er et bærbart bibliotek til pakkesniffing til Windows, der er produceret af Nmap, en af de mest kendte leverandører af pakkesniffing. Biblioteket er hurtigere og mere sikkert end WinpCap. Npcap har understøttelse for Windows 10 og loopback packet capture injection, så du kan sende og sniffe loopback-pakker. Npcap er også understøttet af Wireshark.

Advantages of Packet Capturing and PCAP

Den største fordel ved packet capturing er, at det giver synlighed. Du kan bruge pakkedata til at lokalisere den grundlæggende årsag til netværksproblemer. Du kan overvåge trafikkilder og identificere anvendelsesdata for programmer og enheder. PCAP-data giver dig de oplysninger i realtid, du har brug for til at finde og løse ydelsesproblemer for at holde netværket funktionsdygtigt efter en sikkerhedshændelse.

For eksempel kan du identificere, hvor et stykke malware er trængt ind i netværket ved at spore strømmen af skadelig trafik og anden skadelig kommunikation. Uden PCAP og et pakkeoptagelsesværktøj ville det være vanskeligere at spore pakker og håndtere sikkerhedsrisici.

Som et simpelt filformat har PCAP den fordel, at det er kompatibelt med næsten alle pakkesniffingprogrammer, du kan forestille dig, og der findes en række versioner til Windows, Linux og Mac OS. Packet Capture kan anvendes i næsten alle miljøer.

Ulemper ved Packet Capturing og PCAP

Og selv om Packet Capturing er en værdifuld overvågningsteknik, har den sine begrænsninger. Pakkeanalyse giver dig mulighed for at overvåge netværkstrafikken, men overvåger ikke alt. Mange cyberangreb lanceres ikke via netværkstrafikken, så du skal have andre sikkerhedsforanstaltninger på plads.

For eksempel bruger nogle angribere USB’er og andre hardwarebaserede angreb. Derfor bør PCAP-filanalyse udgøre en del af din netværkssikkerhedsstrategi, men det bør ikke være din eneste forsvarslinje.

En anden væsentlig hindring for pakkeopfangning er kryptering. Mange cyberangribere bruger krypteret kommunikation til at iværksætte angreb på netværk. Kryptering forhindrer din pakkesniffer i at få adgang til trafikdata og identificere angreb. Det betyder, at krypterede angreb vil glide under radaren, hvis du er afhængig af PCAP.

Der er også et problem med, hvor pakkesnifferen er placeret. Hvis en pakkesniffer er placeret i kanten af netværket, vil det begrænse den mængde synlighed, som en bruger har. Brugeren kan f.eks. undlade at opdage starten på et DDoS-angreb eller et malware-udbrud. Desuden er det vigtigt, selv hvis du indsamler data i midten af netværket, at du sikrer dig, at du indsamler hele samtaler i stedet for sammenfattende data.

Open Source Packet Analysis Tool: Hvordan bruger Wireshark PCAP-filer?

Wireshark er den mest populære trafikanalysator i verden. Wireshark bruger .pcap-filer til at registrere pakkedata, der er blevet trukket fra en netværksscanning. Pakketdata registreres I filer med .pcap-filudvidelsen og kan bruges til at finde ydelsesproblemer og cyberangreb på netværket.

Med andre ord opretter PCAP-filen en registrering af netværksdata, som du kan se via Wireshark. Du kan derefter vurdere netværkets status og identificere, om der er serviceproblemer, som du skal reagere på.

Det er vigtigt at bemærke, at Wireshark ikke er det eneste værktøj, der kan åbne .pcap-filer. Andre udbredte alternativer omfatter tcpdump og WinDump, netværksovervågningsværktøjer, der også bruger PCAP til at tage en lup til netværkets ydeevne.

Eksempel på et proprietært pakkeanalyseværktøj

SolarWinds Network Performance Monitor (GRATIS TRIAL)

SolarWinds Network Performance Monitor er et eksempel på et netværksovervågningsværktøj, der kan fange PCAP-data. Du kan installere softwaren på en enhed og derefter overvåge pakkedata, der trækkes fra hele netværket. Med pakkedataene kan du måle netværkets responstid og diagnosticere angreb.

Brugeren kan se pakkedata via Quality of Experience dashboardet, herunder en oversigt over netværkets ydeevne. Grafiske visninger gør det lettere at lokalisere spidser i internettrafik eller skadelig trafik, der kan indikere et cyberangreb.

Programmets layout gør det også muligt for brugeren at differentiere programmer efter den mængde trafik, de behandler. Faktorer som gennemsnitlig netværksresponstid, gennemsnitlig applikationsresponstid, samlet datamængde og samlet antal transaktioner hjælper brugeren med at holde sig ajour med ændringer i netværket, efterhånden som de sker live. Der er også en 30-dages gratis prøveversion tilgængelig til download.

SolarWinds Network Performance Monitor Download 30-dages GRATIS prøveversion

PCAP File Analysis: Fanger angreb i netværkstrafikken

Packet sniffing er et must for enhver organisation, der har et netværk. PCAP-filer er en af de ressourcer, som netværksadministratorer kan bruge til at tage et mikroskop til ydeevne og opdage angreb. Ved at opsamle pakker kan man ikke kun komme til bunds i årsagen til angreb, men også hjælpe med at fejlfinde træg ydeevne.

Open source packet capture-værktøjer som Wireshark og tcpdump giver netværksadministratorer værktøjer til at afhjælpe dårlig netværksydelse uden at bruge en formue. Der findes også en række proprietære værktøjer til virksomheder, der ønsker en mere avanceret pakkeanalyseoplevelse.

Gennem kraften i PCAP-filer kan en bruger logge ind på en pakkesniffer indsamle trafikdata og se, hvor netværksressourcerne forbruges. Ved at bruge de rigtige filtre bliver det også meget nemmere at fjerne den hvide støj og skærpe ind på de mest betydningsfulde data.

FAQs om PCAP-filoptagelse