PCAP
¿Qué es PCAP?
PCAPFormato binario de captura de paquetes producido por libpcap, tcpdump y Wireshark que almacena los paquetes tal como se vieron en la red.
Los archivos PCAP guardan tramas brutas con marcas de tiempo por paquete y cabeceras de capa de enlace, y son el idioma comun del analisis forense de red. El formato libpcap clasico y su sucesor PCAPNG son escritos por tcpdump, Wireshark, Zeek, Suricata y muchas appliances, y los leen cientos de herramientas. Los defensores usan PCAP para investigacion profunda de incidentes, reconstruccion de C2 de malware, depuracion de protocolos y preservacion forense de evidencia. Los retos operativos son la perdida de captura a altas tasas, el coste de almacenamiento, los controles de interceptacion legal, el cifrado (TLS suele requerir keylogging o descifrado en pasarelas) y el tiempo de retencion frente a metadatos como NetFlow.
● Ejemplos
- 01
Reproducir un PCAP en Suricata para probar una regla contra trafico malicioso real.
- 02
Reconstruir ficheros exfiltrados desde paquetes capturados con Follow TCP Stream de Wireshark.
● Preguntas frecuentes
¿Qué es PCAP?
Formato binario de captura de paquetes producido por libpcap, tcpdump y Wireshark que almacena los paquetes tal como se vieron en la red. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa PCAP?
Formato binario de captura de paquetes producido por libpcap, tcpdump y Wireshark que almacena los paquetes tal como se vieron en la red.
¿Cómo defenderse de PCAP?
Las defensas contra PCAP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para PCAP?
Nombres alternativos comunes: Archivo libpcap, PCAPNG, Captura de paquetes.