PCAP
¿Qué es PCAP?
PCAPFormato binario de captura de paquetes producido por libpcap, tcpdump y Wireshark que almacena los paquetes tal como se vieron en la red.
Los archivos PCAP guardan tramas brutas con marcas de tiempo por paquete y cabeceras de capa de enlace, y son el idioma comun del analisis forense de red. El formato libpcap clasico y su sucesor PCAPNG son escritos por tcpdump, Wireshark, Zeek, Suricata y muchas appliances, y los leen cientos de herramientas. Los defensores usan PCAP para investigacion profunda de incidentes, reconstruccion de C2 de malware, depuracion de protocolos y preservacion forense de evidencia. Los retos operativos son la perdida de captura a altas tasas, el coste de almacenamiento, los controles de interceptacion legal, el cifrado (TLS suele requerir keylogging o descifrado en pasarelas) y el tiempo de retencion frente a metadatos como NetFlow.
● Ejemplos
- 01
Reproducir un PCAP en Suricata para probar una regla contra trafico malicioso real.
- 02
Reconstruir ficheros exfiltrados desde paquetes capturados con Follow TCP Stream de Wireshark.
● Preguntas frecuentes
¿Qué es PCAP?
Formato binario de captura de paquetes producido por libpcap, tcpdump y Wireshark que almacena los paquetes tal como se vieron en la red. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa PCAP?
Formato binario de captura de paquetes producido por libpcap, tcpdump y Wireshark que almacena los paquetes tal como se vieron en la red.
¿Cómo funciona PCAP?
Los archivos PCAP guardan tramas brutas con marcas de tiempo por paquete y cabeceras de capa de enlace, y son el idioma comun del analisis forense de red. El formato libpcap clasico y su sucesor PCAPNG son escritos por tcpdump, Wireshark, Zeek, Suricata y muchas appliances, y los leen cientos de herramientas. Los defensores usan PCAP para investigacion profunda de incidentes, reconstruccion de C2 de malware, depuracion de protocolos y preservacion forense de evidencia. Los retos operativos son la perdida de captura a altas tasas, el coste de almacenamiento, los controles de interceptacion legal, el cifrado (TLS suele requerir keylogging o descifrado en pasarelas) y el tiempo de retencion frente a metadatos como NetFlow.
¿Cómo defenderse de PCAP?
Las defensas contra PCAP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para PCAP?
Nombres alternativos comunes: Archivo libpcap, PCAPNG, Captura de paquetes.
● Términos relacionados
- defense-ops№ 1245
Wireshark
Analizador de protocolos de red de codigo abierto que captura e inspecciona paquetes en tiempo real para solucion de problemas, analisis de seguridad y formacion.
- defense-ops№ 719
NetFlow
Protocolo de registros de flujo originado en Cisco, junto a sus sucesores sFlow e IPFIX, que exporta metadatos resumidos de cada conversacion que cruza un dispositivo de red.
- network-security№ 295
Inspección profunda de paquetes (DPI)
Técnica de inspección que examina toda la carga útil de los paquetes —no solo las cabeceras— para identificar aplicaciones, contenido y amenazas.
- forensics-ir№ 722
Forense de red
Captura, registro y análisis del tráfico y metadatos de red para investigar eventos de seguridad y reconstruir la actividad del atacante.
- defense-ops№ 686
mitmproxy
Proxy interactivo open-source con soporte TLS que ingenieros de seguridad y QA usan para interceptar, inspeccionar, modificar y reproducir trafico HTTP y HTTPS.