PCAP
PCAP とは何ですか?
PCAPlibpcap、tcpdump、Wireshark などが生成するパケットキャプチャ用バイナリ形式。ネットワークパケットを線上で観測された通りに保存する。
PCAP(パケットキャプチャ)ファイルは、フレームを生のままパケット単位のタイムスタンプとリンク層ヘッダー付きで記録する、ネットワークフォレンジックの共通言語です。古典的な libpcap 形式と後継の PCAPNG は、tcpdump、Wireshark、Zeek、Suricata、各種アプライアンスが書き出し、数百のツールが読み込めます。防御側はインシデントの深堀り、マルウェア C2 の再構築、プロトコル調査、証拠保全に PCAP を活用します。運用上の課題は高レートでのキャプチャロス、ストレージコスト、合法的傍受の統制、暗号化(TLS は鍵ロギングや中間機器での復号が必要なことが多い)、フルパケットと NetFlow 等メタデータの保持期間設計です。
● 例
- 01
新しい検知ルールを実際の悪性トラフィックで評価するため、PCAP を Suricata に再生する。
- 02
Wireshark の Follow TCP Stream を使って、キャプチャから持ち出されたファイルを復元する。
● よくある質問
PCAP とは何ですか?
libpcap、tcpdump、Wireshark などが生成するパケットキャプチャ用バイナリ形式。ネットワークパケットを線上で観測された通りに保存する。 サイバーセキュリティの 防御と運用 カテゴリに属します。
PCAP とはどういう意味ですか?
libpcap、tcpdump、Wireshark などが生成するパケットキャプチャ用バイナリ形式。ネットワークパケットを線上で観測された通りに保存する。
PCAP はどのように機能しますか?
PCAP(パケットキャプチャ)ファイルは、フレームを生のままパケット単位のタイムスタンプとリンク層ヘッダー付きで記録する、ネットワークフォレンジックの共通言語です。古典的な libpcap 形式と後継の PCAPNG は、tcpdump、Wireshark、Zeek、Suricata、各種アプライアンスが書き出し、数百のツールが読み込めます。防御側はインシデントの深堀り、マルウェア C2 の再構築、プロトコル調査、証拠保全に PCAP を活用します。運用上の課題は高レートでのキャプチャロス、ストレージコスト、合法的傍受の統制、暗号化(TLS は鍵ロギングや中間機器での復号が必要なことが多い)、フルパケットと NetFlow 等メタデータの保持期間設計です。
PCAP からどのように防御しますか?
PCAP に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
PCAP の別名は何ですか?
一般的な別名: libpcap ファイル, PCAPNG, パケットキャプチャ。
● 関連用語
- defense-ops№ 1245
Wireshark
オープンソースのネットワーク プロトコル アナライザーで、トラブルシュート、セキュリティ分析、教育のためにパケットをリアルタイムでキャプチャ・解析する。
- defense-ops№ 719
NetFlow
Cisco 発のフローレコードプロトコル、および後継の sFlow・IPFIX。ネットワーク機器を通過する各会話の要約メタデータを外部にエクスポートする。
- network-security№ 295
ディープパケットインスペクション(DPI)
ヘッダだけでなくパケットのペイロード全体を検査し、アプリケーション・コンテンツ・脅威を識別する技術。
- forensics-ir№ 722
ネットワークフォレンジック
ネットワークトラフィックとメタデータを取得・記録・解析し、セキュリティ事象の調査と攻撃者活動の再構成を行う領域。
- defense-ops№ 686
mitmproxy
TLS にも対応するオープンソースの対話型プロキシ。セキュリティや QA エンジニアが HTTP/HTTPS 通信を傍受・確認・改変・再送するために用いる。