PCAP
O que é PCAP?
PCAPFormato binario de captura de pacotes produzido por libpcap, tcpdump e Wireshark, que armazena pacotes de rede tal como foram vistos no fio.
Os ficheiros PCAP guardam frames em bruto com marca temporal por pacote e cabecalhos de camada de ligacao, sendo a linguagem comum da forense de rede. O formato libpcap classico e o seu sucessor PCAPNG sao escritos por tcpdump, Wireshark, Zeek, Suricata e muitos appliances, e podem ser reproduzidos e analisados por centenas de ferramentas. Os defensores usam PCAP para investigacao profunda de incidentes, reconstituicao de C2 de malware, depuracao de protocolos e preservacao de prova. Desafios: perdas de captura a debito alto, custo de armazenamento, controlos de interceptacao legal, cifragem (TLS requer muitas vezes keylog ou descifragem em middlebox) e politicas de retencao.
● Exemplos
- 01
Reproduzir um PCAP no Suricata para testar uma nova regra com trafego malicioso real.
- 02
Reconstituir ficheiros exfiltrados a partir de pacotes capturados usando Follow TCP Stream do Wireshark.
● Perguntas frequentes
O que é PCAP?
Formato binario de captura de pacotes produzido por libpcap, tcpdump e Wireshark, que armazena pacotes de rede tal como foram vistos no fio. Pertence à categoria Defesa e operações da cibersegurança.
O que significa PCAP?
Formato binario de captura de pacotes produzido por libpcap, tcpdump e Wireshark, que armazena pacotes de rede tal como foram vistos no fio.
Como funciona PCAP?
Os ficheiros PCAP guardam frames em bruto com marca temporal por pacote e cabecalhos de camada de ligacao, sendo a linguagem comum da forense de rede. O formato libpcap classico e o seu sucessor PCAPNG sao escritos por tcpdump, Wireshark, Zeek, Suricata e muitos appliances, e podem ser reproduzidos e analisados por centenas de ferramentas. Os defensores usam PCAP para investigacao profunda de incidentes, reconstituicao de C2 de malware, depuracao de protocolos e preservacao de prova. Desafios: perdas de captura a debito alto, custo de armazenamento, controlos de interceptacao legal, cifragem (TLS requer muitas vezes keylog ou descifragem em middlebox) e politicas de retencao.
Como se defender contra PCAP?
As defesas contra PCAP costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para PCAP?
Nomes alternativos comuns: Ficheiro libpcap, PCAPNG, Captura de pacotes.
● Termos relacionados
- defense-ops№ 1245
Wireshark
Analisador de protocolos de rede de codigo aberto que captura e inspeciona pacotes em tempo real para troubleshooting, analise de seguranca e formacao.
- defense-ops№ 719
NetFlow
Protocolo de registo de fluxos com origem na Cisco, junto com os sucessores sFlow e IPFIX, que exporta metadados resumidos de cada conversa que atravessa um equipamento de rede.
- network-security№ 295
Inspeção Profunda de Pacotes (DPI)
Técnica de inspeção que examina todo o payload dos pacotes de rede — não apenas os cabeçalhos — para identificar aplicações, conteúdo e ameaças.
- forensics-ir№ 722
Forense de rede
Captura, registo e análise de tráfego e metadados de rede para investigar eventos de segurança e reconstruir a atividade do atacante.
- defense-ops№ 686
mitmproxy
Proxy interativo open source com suporte TLS usado por engenheiros de seguranca e QA para intercetar, inspecionar, modificar e reproduzir trafego HTTP e HTTPS.