PCAP
PCAP 是什么?
PCAP由 libpcap、tcpdump、Wireshark 等工具生成的二进制数据包捕获文件格式,按原样存储链路上的网络数据包。
PCAP(数据包捕获)文件记录原始帧及每包时间戳和链路层头部,是网络取证的通用语言。经典的 libpcap 格式及其后继 PCAPNG 被 tcpdump、Wireshark、Zeek、Suricata 以及众多安全设备所写入,数百种工具都可对其进行回放和分析。防御者用 PCAP 进行深度事件调查、恶意软件 C2 重构、协议排错和证据保全。运营上的难点包括高速率下的丢包、磁盘成本、合法侦听控制、加密(TLS 通常需要密钥日志或在网关上解密),以及全量包与 NetFlow 等元数据相比的留存策略。
● 示例
- 01
在 Suricata 中回放 PCAP,用真实恶意流量测试新规则。
- 02
用 Wireshark 的 Follow TCP Stream 从抓包中重建被外泄的文件。
● 常见问题
PCAP 是什么?
由 libpcap、tcpdump、Wireshark 等工具生成的二进制数据包捕获文件格式,按原样存储链路上的网络数据包。 它属于网络安全的 防御与运营 分类。
PCAP 是什么意思?
由 libpcap、tcpdump、Wireshark 等工具生成的二进制数据包捕获文件格式,按原样存储链路上的网络数据包。
PCAP 是如何工作的?
PCAP(数据包捕获)文件记录原始帧及每包时间戳和链路层头部,是网络取证的通用语言。经典的 libpcap 格式及其后继 PCAPNG 被 tcpdump、Wireshark、Zeek、Suricata 以及众多安全设备所写入,数百种工具都可对其进行回放和分析。防御者用 PCAP 进行深度事件调查、恶意软件 C2 重构、协议排错和证据保全。运营上的难点包括高速率下的丢包、磁盘成本、合法侦听控制、加密(TLS 通常需要密钥日志或在网关上解密),以及全量包与 NetFlow 等元数据相比的留存策略。
如何防御 PCAP?
针对 PCAP 的防御通常结合技术控制与运营实践,详见上方完整定义。
PCAP 还有哪些其他名称?
常见的别称包括: libpcap 文件, PCAPNG, 抓包文件。
● 相关术语
- defense-ops№ 1245
Wireshark
开源的网络协议分析器,可实时捕获并解析数据包,用于故障排查、安全分析与教学。
- defense-ops№ 719
NetFlow
源自 Cisco 的流记录协议,以及其继任者 sFlow 和 IPFIX,用于导出穿过网络设备的每一次会话的摘要元数据。
- network-security№ 295
深度包检测(DPI)
一种不仅检查报头还分析数据包整个负载的检测技术,用于识别应用、内容和威胁。
- forensics-ir№ 722
网络取证
对网络流量与元数据进行采集、记录和分析,用于调查安全事件并重建攻击者行为。
- defense-ops№ 686
mitmproxy
开源的交互式 TLS 代理工具,安全与 QA 工程师常用于拦截、查看、修改并重放 HTTP 与 HTTPS 流量。