PCAP
Was ist PCAP?
PCAPBinaeres Paket-Mitschnittformat von libpcap, tcpdump und Wireshark, das Netzwerkpakete genau so speichert, wie sie auf dem Kabel zu sehen waren.
PCAP-Dateien (Packet Capture) enthalten Rohframes mit Zeitstempel pro Paket und Layer-2-Headern und sind die Lingua Franca der Netzwerk-Forensik. Das klassische libpcap-Format und sein Nachfolger PCAPNG werden von tcpdump, Wireshark, Zeek, Suricata und vielen Appliances geschrieben und von hunderten Tools gelesen. Verteidiger nutzen PCAP fuer tiefgehende Incident-Investigation, Rekonstruktion von Malware-C2, Protokoll-Debugging und Beweissicherung. Betriebliche Themen sind Capture-Verluste bei hohen Raten, Speicherkosten, gesetzliche Vorgaben zur Interception, Verschluesselung (TLS erfordert oft Key-Logging oder Middlebox-Decryption) und Aufbewahrung vs. Metadaten wie NetFlow.
● Beispiele
- 01
Ein PCAP durch Suricata abspielen, um eine neue Detection-Regel an echtem boesartigem Verkehr zu testen.
- 02
Aus aufgezeichneten Paketen exfiltrierte Dateien mit Follow TCP Stream in Wireshark rekonstruieren.
● Häufige Fragen
Was ist PCAP?
Binaeres Paket-Mitschnittformat von libpcap, tcpdump und Wireshark, das Netzwerkpakete genau so speichert, wie sie auf dem Kabel zu sehen waren. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet PCAP?
Binaeres Paket-Mitschnittformat von libpcap, tcpdump und Wireshark, das Netzwerkpakete genau so speichert, wie sie auf dem Kabel zu sehen waren.
Wie funktioniert PCAP?
PCAP-Dateien (Packet Capture) enthalten Rohframes mit Zeitstempel pro Paket und Layer-2-Headern und sind die Lingua Franca der Netzwerk-Forensik. Das klassische libpcap-Format und sein Nachfolger PCAPNG werden von tcpdump, Wireshark, Zeek, Suricata und vielen Appliances geschrieben und von hunderten Tools gelesen. Verteidiger nutzen PCAP fuer tiefgehende Incident-Investigation, Rekonstruktion von Malware-C2, Protokoll-Debugging und Beweissicherung. Betriebliche Themen sind Capture-Verluste bei hohen Raten, Speicherkosten, gesetzliche Vorgaben zur Interception, Verschluesselung (TLS erfordert oft Key-Logging oder Middlebox-Decryption) und Aufbewahrung vs. Metadaten wie NetFlow.
Wie schützt man sich gegen PCAP?
Schutzmaßnahmen gegen PCAP kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für PCAP?
Übliche alternative Bezeichnungen: libpcap-Datei, PCAPNG, Paketmitschnitt.
● Verwandte Begriffe
- defense-ops№ 1245
Wireshark
Ein Open-Source-Netzwerkprotokollanalysator, der Pakete in Echtzeit aufzeichnet und untersucht, fuer Troubleshooting, Sicherheitsanalyse und Schulung.
- defense-ops№ 719
NetFlow
Von Cisco eingefuehrtes Flow-Record-Protokoll mit den Nachfolgern sFlow und IPFIX, das zusammengefasste Metadaten jeder Konversation eines Netzgeraets exportiert.
- network-security№ 295
Deep Packet Inspection (DPI)
Ein Verfahren, das nicht nur Header, sondern die gesamte Nutzlast von Netzwerkpaketen analysiert, um Anwendungen, Inhalte und Bedrohungen zu erkennen.
- forensics-ir№ 722
Netzwerkforensik
Erfassung, Speicherung und Analyse von Netzwerkverkehr und Metadaten zur Untersuchung von Sicherheitsvorfällen und Rekonstruktion gegnerischer Aktivität.
- defense-ops№ 686
mitmproxy
Open-Source-interaktiver TLS-faehiger Proxy, mit dem Security- und QA-Teams HTTP- und HTTPS-Traffic abfangen, pruefen, veraendern und wiedergeben.