PCAP
PCAP とは何ですか?
PCAPlibpcap、tcpdump、Wireshark などが生成するパケットキャプチャ用バイナリ形式。ネットワークパケットを線上で観測された通りに保存する。
PCAP(パケットキャプチャ)ファイルは、フレームを生のままパケット単位のタイムスタンプとリンク層ヘッダー付きで記録する、ネットワークフォレンジックの共通言語です。古典的な libpcap 形式と後継の PCAPNG は、tcpdump、Wireshark、Zeek、Suricata、各種アプライアンスが書き出し、数百のツールが読み込めます。防御側はインシデントの深堀り、マルウェア C2 の再構築、プロトコル調査、証拠保全に PCAP を活用します。運用上の課題は高レートでのキャプチャロス、ストレージコスト、合法的傍受の統制、暗号化(TLS は鍵ロギングや中間機器での復号が必要なことが多い)、フルパケットと NetFlow 等メタデータの保持期間設計です。
● 例
- 01
新しい検知ルールを実際の悪性トラフィックで評価するため、PCAP を Suricata に再生する。
- 02
Wireshark の Follow TCP Stream を使って、キャプチャから持ち出されたファイルを復元する。
● よくある質問
PCAP とは何ですか?
libpcap、tcpdump、Wireshark などが生成するパケットキャプチャ用バイナリ形式。ネットワークパケットを線上で観測された通りに保存する。 サイバーセキュリティの 防御と運用 カテゴリに属します。
PCAP とはどういう意味ですか?
libpcap、tcpdump、Wireshark などが生成するパケットキャプチャ用バイナリ形式。ネットワークパケットを線上で観測された通りに保存する。
PCAP からどのように防御しますか?
PCAP に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
PCAP の別名は何ですか?
一般的な別名: libpcap ファイル, PCAPNG, パケットキャプチャ。