PCAP
Что такое PCAP?
PCAPБинарный формат записи сетевых пакетов, создаваемый libpcap, tcpdump и Wireshark: хранит пакеты в точности так, как они проходили по сети.
Файлы PCAP содержат сырые кадры с метками времени по каждому пакету и заголовками канального уровня и являются общим языком сетевой криминалистики. Классический libpcap и его наследник PCAPNG пишутся tcpdump, Wireshark, Zeek, Suricata и многими аппаратами, а читаются сотнями инструментов. Защитники применяют PCAP для глубокого разбора инцидентов, восстановления C2-сессий, отладки протоколов и сохранения доказательств. Операционные сложности — потери на высокой скорости, стоимость хранения, требования к легальному перехвату, шифрование (TLS обычно требует логирования ключей или расшифровки на middlebox) и баланс между хранением полных пакетов и метаданных вроде NetFlow.
● Примеры
- 01
Воспроизведение PCAP через Suricata для проверки нового правила на реальном вредоносном трафике.
- 02
Восстановление утечённых файлов из захваченных пакетов через Follow TCP Stream в Wireshark.
● Частые вопросы
Что такое PCAP?
Бинарный формат записи сетевых пакетов, создаваемый libpcap, tcpdump и Wireshark: хранит пакеты в точности так, как они проходили по сети. Относится к категории Защита и операции в кибербезопасности.
Что означает PCAP?
Бинарный формат записи сетевых пакетов, создаваемый libpcap, tcpdump и Wireshark: хранит пакеты в точности так, как они проходили по сети.
Как защититься от PCAP?
Защита от PCAP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия PCAP?
Распространённые альтернативные названия: Файл libpcap, PCAPNG, Пакетная запись.