PCAP
Qu'est-ce que PCAP ?
PCAPFormat binaire de capture de paquets produit par libpcap, tcpdump et Wireshark, qui enregistre les paquets reseau tels qu'ils ont ete vus sur le fil.
Les fichiers PCAP stockent les trames brutes avec un horodatage par paquet et les en-tetes de couche liaison ; ils sont la langue commune de la forensique reseau. Le format libpcap classique et son successeur PCAPNG sont ecrits par tcpdump, Wireshark, Zeek, Suricata et de nombreuses appliances, et peuvent etre rejoues ou analyses par des centaines d'outils. Les defenseurs utilisent PCAP pour l'investigation approfondie, la reconstitution de C2 de malwares, le debogage protocolaire et la preservation des preuves. Les enjeux : pertes de capture a haut debit, cout de stockage, controles d'interception legale, chiffrement (TLS requiert souvent un keylog ou un dechiffrement intermediaire), retention.
● Exemples
- 01
Rejouer un PCAP dans Suricata pour tester une nouvelle regle contre du trafic malveillant reel.
- 02
Reconstruire les fichiers exfiltres depuis les paquets captures avec Follow TCP Stream de Wireshark.
● Questions fréquentes
Qu'est-ce que PCAP ?
Format binaire de capture de paquets produit par libpcap, tcpdump et Wireshark, qui enregistre les paquets reseau tels qu'ils ont ete vus sur le fil. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie PCAP ?
Format binaire de capture de paquets produit par libpcap, tcpdump et Wireshark, qui enregistre les paquets reseau tels qu'ils ont ete vus sur le fil.
Comment fonctionne PCAP ?
Les fichiers PCAP stockent les trames brutes avec un horodatage par paquet et les en-tetes de couche liaison ; ils sont la langue commune de la forensique reseau. Le format libpcap classique et son successeur PCAPNG sont ecrits par tcpdump, Wireshark, Zeek, Suricata et de nombreuses appliances, et peuvent etre rejoues ou analyses par des centaines d'outils. Les defenseurs utilisent PCAP pour l'investigation approfondie, la reconstitution de C2 de malwares, le debogage protocolaire et la preservation des preuves. Les enjeux : pertes de capture a haut debit, cout de stockage, controles d'interception legale, chiffrement (TLS requiert souvent un keylog ou un dechiffrement intermediaire), retention.
Comment se défendre contre PCAP ?
Les défenses contre PCAP combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de PCAP ?
Noms alternatifs courants : Fichier libpcap, PCAPNG, Capture de paquets.
● Termes liés
- defense-ops№ 1245
Wireshark
Analyseur de protocoles reseau open source qui capture et inspecte les paquets en temps reel pour le depannage, l'analyse de securite et la formation.
- defense-ops№ 719
NetFlow
Protocole d'enregistrement de flux d'origine Cisco, ainsi que ses successeurs sFlow et IPFIX, qui exporte des metadonnees resumant chaque conversation qui traverse un equipement reseau.
- network-security№ 295
Inspection approfondie des paquets (DPI)
Technique d'inspection qui examine la totalité de la charge utile des paquets, pas seulement leurs en-têtes, pour identifier applications, contenus et menaces.
- forensics-ir№ 722
Forensique réseau
Capture, enregistrement et analyse du trafic et des métadonnées réseau pour investiguer des événements de sécurité et reconstruire l'activité d'un attaquant.
- defense-ops№ 686
mitmproxy
Proxy interactif open-source compatible TLS, utilise par les ingenieurs securite et QA pour intercepter, inspecter, modifier et rejouer le trafic HTTP et HTTPS.