PCAP
O que é PCAP?
PCAPFormato binario de captura de pacotes produzido por libpcap, tcpdump e Wireshark, que armazena pacotes de rede tal como foram vistos no fio.
Os ficheiros PCAP guardam frames em bruto com marca temporal por pacote e cabecalhos de camada de ligacao, sendo a linguagem comum da forense de rede. O formato libpcap classico e o seu sucessor PCAPNG sao escritos por tcpdump, Wireshark, Zeek, Suricata e muitos appliances, e podem ser reproduzidos e analisados por centenas de ferramentas. Os defensores usam PCAP para investigacao profunda de incidentes, reconstituicao de C2 de malware, depuracao de protocolos e preservacao de prova. Desafios: perdas de captura a debito alto, custo de armazenamento, controlos de interceptacao legal, cifragem (TLS requer muitas vezes keylog ou descifragem em middlebox) e politicas de retencao.
● Exemplos
- 01
Reproduzir um PCAP no Suricata para testar uma nova regra com trafego malicioso real.
- 02
Reconstituir ficheiros exfiltrados a partir de pacotes capturados usando Follow TCP Stream do Wireshark.
● Perguntas frequentes
O que é PCAP?
Formato binario de captura de pacotes produzido por libpcap, tcpdump e Wireshark, que armazena pacotes de rede tal como foram vistos no fio. Pertence à categoria Defesa e operações da cibersegurança.
O que significa PCAP?
Formato binario de captura de pacotes produzido por libpcap, tcpdump e Wireshark, que armazena pacotes de rede tal como foram vistos no fio.
Como se defender contra PCAP?
As defesas contra PCAP costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para PCAP?
Nomes alternativos comuns: Ficheiro libpcap, PCAPNG, Captura de pacotes.