PCAP: ضبط بسته ، آنچه در آن است و آنچه را که باید بدانید

ضبط بسته یا PCAP (همچنین به عنوان libpcap نیز شناخته می شود) یک رابط برنامه نویسی برنامه (API) است که داده های بسته شبکه زنده را از لایه های 2-7 مدل OSI ضبط می کند. آنالایزرهای شبکه مانند Wireshark برای جمع آوری و ضبط داده های بسته از یک شبکه ، فایلهای .pcap را ایجاد می کنند. PCAP در طیف وسیعی از فرمتها قرار دارد Libpcap, WinPcap, و PCAPng.

از این فایلهای PCAP می توان برای مشاهده بسته های شبکه TCP / IP و UDP استفاده کرد. اگر می خواهید ترافیک شبکه را ضبط کنید ، باید یک .pcapfile ایجاد کنید. می توانید با استفاده از آنالایزر شبکه یا ابزار خراب کردن بسته مانند Wireshark یا tcpdump ، یک .pcapfile ایجاد کنید. در این مقاله ، ما می خواهیم ببینیم که PCAP چیست و چگونه کار می کند.

چرا باید از PCAP استفاده کنم? 

PCAP یک منبع با ارزش برای تجزیه و تحلیل پرونده ها و نظارت بر ترافیک شبکه شما است. ابزارهای جمع آوری بسته مانند Wireshark به شما امکان می دهد ترافیک شبکه را جمع کنید و آن را به فرمی ترجمه کنید که قابل خواندن توسط انسان باشد. دلایل زیادی وجود دارد که از PCAP برای نظارت بر شبکه ها استفاده می شود. برخی از متداول ترین آنها شامل نظارت بر استفاده از پهنای باند ، شناسایی سرورهای سرکش DHCP ، شناسایی بدافزار ، وضوح DNS و پاسخ حادثه است..

برای سرپرست شبکه و محققان امنیتی ، تجزیه و تحلیل پرونده بسته ای روش مناسبی برای تشخیص مزاحمت های شبکه و سایر فعالیت های مشکوک است. به عنوان مثال ، اگر منبعی مشغول ارسال ترافیک مخرب به شبکه است ، می توانید آن را در عامل نرم افزار شناسایی کرده و برای اصلاح حمله اقدام کنید.

چگونه یک خرگیرنده بسته کار می کند?

برای گرفتن پرونده های PCAP ، شما نیاز به استفاده از یک خرگیرنده بسته دارید. یک بسته دستی بسته ها بسته ها را ضبط می کند و آنها را به روشی ارائه می کند که درک آن آسان است. هنگام استفاده از اسکنر PCAP ، اولین کاری که شما باید انجام دهید این است که مشخص کنید چه رابط کاربری برای ایجاد خرخر کردن انجام می شود. اگر در دستگاه لینوکس هستید این موارد ممکن است باشد eth0 یا wlan0. شما می توانید یک رابط با را انتخاب کنید دستور ifconfig.

هنگامی که شما می دانید که چه رابط شما می خواهید به خرخر کنید ، می توانید نوع ترافیکی را که می خواهید نظارت کنید انتخاب کنید. به عنوان مثال ، اگر فقط می خواهید بر روی بسته های TCP / IP نظارت داشته باشید ، می توانید قوانینی را برای این کار ایجاد کنید. بسیاری از ابزارها فیلترهایی را ارائه می دهند که به شما امکان می دهد تا آنچه را که جمع می کنید کنترل کنید.

به عنوان مثال ، Wireshark به شما امکان می دهد نوع ترافیکی که مشاهده می کنید را با فیلترهای ضبط فیلتر کنید و فیلترها را نمایش دهید. فیلترهای ضبط به شما امکان می دهند فیلترهای ترافیکی را که ضبط می کنید فیلتر کنید و به شما اجازه می دهد تا آنچه را که مشاهده می کنید فیلتر کنید. به عنوان مثال ، می توانید پروتکل ها ، جریان ها یا هاست را فیلتر کنید.

پس از جمع آوری ترافیک فیلتر شده ، می توانید به دنبال مشکلات مربوط به عملکرد باشید. برای تجزیه و تحلیل هدفمند تر می توانید بر اساس پورت های منبع و پورت های مقصد فیلتر کنید تا عناصر شبکه خاص را آزمایش کنید. همه اطلاعات ضبط شده سپس می توانند برای عیب یابی مشکلات عملکرد شبکه استفاده شوند.

نسخه های PCAP

همانطور که در بالا ذکر شد ، انواع مختلفی از پرونده های PCAP وجود دارد ، از جمله:

• Libpcap
• WinPcap
• PCAPng
• Npcap

هر نسخه موارد استفاده خاص خود را دارد و انواع مختلفی از ابزارهای نظارت بر شبکه از اشکال مختلف فایلهای PCAP پشتیبانی می کنند. به عنوان مثال ، Libpcap یک کتابخانه منبع باز c / C ++ قابل حمل است که برای کاربران Linux و Mac OS طراحی شده است. Libpcap مدیران را قادر می سازد تا بسته ها را ضبط و فیلتر کنند. ابزارهای تنظیم کننده بسته مانند tcpdump از قالب Libpcap استفاده می کنند.

برای کاربران ویندوز ، فرمت WinPcap وجود دارد. WinPcap یکی دیگر از کتابخانه های قابل حمل ضبط بسته است که برای دستگاه های ویندوز طراحی شده است. WinpCap همچنین می تواند بسته های جمع آوری شده از شبکه را ضبط و فیلتر کند. ابزارهایی مانند Wireshark, Nmap, و خرخر برای نظارت بر دستگاه ها از WinPCap استفاده کنید اما پروتکل خودش قطع شده است.

فرمت فایل Pcapng یا .pcap Next Generation Capture File نسخه پیشرفته تر PCAP است که به صورت پیش فرض با Wireshark همراه است. Pcapng می تواند داده ها را ضبط و ذخیره کند. نوع جمع آوری داده های pcapng شامل دقت گسترده در زمان سنج ، نظرات کاربر و آمار گرفتن از اطلاعات اضافی برای کاربر است..

ابزارهایی مانند Wireshark از PCAPng استفاده می کنند زیرا می تواند اطلاعات بیشتری را نسبت به PCAP ضبط کند. با این حال ، مشکل PCAPng این است که با بسیاری از ابزارهای PCAP سازگار نیست.

Npcap یک کتابخانه مفصل بسته بندی قابل حمل برای ویندوز است که توسط Nmap ساخته شده است ، یکی از مشهورترین فروشندگان خرخر کردن بسته. این کتابخانه سریعتر و مطمئن تر از WinpCap است. Npcap از ویندوز 10 و تزریق ضبط بسته loopback پشتیبانی می کند ، بنابراین می توانید بسته های loopback را ارسال و خراب کنید. Npcap توسط Wireshark نیز پشتیبانی می شود.

مزایای استفاده از بسته های ضبط و PCAP 

بزرگترین مزیت ضبط بسته این است که دید را می بخشد. برای مشخص کردن علت اصلی مشکلات شبکه می توانید از داده های بسته استفاده کنید. می توانید بر منابع ترافیکی نظارت کرده و داده های استفاده از برنامه ها و دستگاه ها را شناسایی کنید. داده PCAP به شما می دهد اطلاعات در زمان واقعی مورد نیاز برای پیدا کردن و حل مشکلات عملکرد برای عملکرد شبکه پس از یک رویداد امنیتی.

به عنوان مثال ، می توانید با ردیابی جریان ترافیک مخرب و سایر ارتباطات مخرب ، قسمتی از بدافزار شبکه را نقض کنید. بدون PCAP و ابزار ضبط بسته ، ردیابی بسته ها و مدیریت خطرات امنیتی دشوارتر خواهد بود.

به عنوان یک فرمت ساده پرونده ، PCAP از این مزیت برخوردار است که تقریباً با هر برنامه خرابکاری بسته ای که می توانید در مورد آن فکر کنید وجود دارد ، با طیف وسیعی از نسخه ها برای Windows ، Linux و Mac OS. ضبط بسته ها تقریباً در هر محیطی قابل استفاده هستند.

معایب بسته بندی گرفتن و PCAP 

اگرچه ضبط بسته ها یک روش مانیتورینگ ارزشمند است اما محدودیت های آن را دارد. تجزیه و تحلیل بسته ها به شما امکان می دهد تا بر ترافیک شبکه نظارت کنید اما همه چیز را رصد نمی کنید. حملات سایبری بسیاری وجود دارد که از طریق ترافیک شبکه راه اندازی نمی شوند ، بنابراین باید اقدامات امنیتی دیگری را نیز انجام دهید.

به عنوان مثال ، برخی از مهاجمین از USB و سایر حملات مبتنی بر سخت افزار استفاده می کنند. در نتیجه ، تجزیه و تحلیل پرونده PCAP باید بخشی از استراتژی امنیت شبکه شما باشد اما نباید تنها خط دفاع شما باشد.

یکی دیگر از موانع مهم برای ضبط بسته ، رمزگذاری است. بسیاری از مهاجمان سایبری برای ایجاد حمله به شبکه ها از ارتباطات رمزگذاری شده استفاده می کنند. رمزگذاری امکان دسترسی به داده های ترافیکی و شناسایی حملات را ندارد. اگر به PCAP اعتماد دارید ، حملات رمزگذاری شده در زیر رادار می لغزد.

همچنین درمورد محل قرارگیری گیرنده بسته ، مشکلی وجود دارد. اگر یک sniffer بسته در لبه شبکه قرار بگیرد ، این میزان میزان دید کاربر را محدود می کند. به عنوان مثال ، ممکن است کاربر نتواند شروع حمله DDoS یا شیوع بدافزار را متوجه شود. علاوه بر این ، حتی اگر شما در حال جمع آوری داده ها در مرکز شبکه هستید ، مهم است که به جای جمع آوری داده ها ، کل گفتگوها را جمع آوری کنید..

ابزار تجزیه و تحلیل بسته منبع آزاد: چگونه Wireshark از پرونده های PCAP استفاده می کند? 

Wireshark محبوب ترین آنالایزر ترافیک در جهان است. Wireshark از پرونده های .pcap برای ضبط داده های بسته ای که از یک اسکن شبکه کشیده شده استفاده می کند. داده های بسته در پرونده هایی با پسوند پرونده .pcap ضبط می شوند و می توانند برای یافتن مشکلات عملکردی و حملات سایبری در شبکه مورد استفاده قرار گیرند.

به عبارت دیگر ، پرونده PCAP رکوردی از داده های شبکه ایجاد می کند که می توانید از طریق Wireshark مشاهده کنید. سپس می توانید وضعیت شبکه را ارزیابی کرده و در صورت وجود مشکلات خدماتی که باید به آنها پاسخ دهید شناسایی کنید.

توجه به این نکته مهم است که Wireshark تنها ابزاری نیست که می تواند پرونده های .pcap را باز کند. گزینه های دیگر مورد استفاده دیگر عبارتند از: tcpdump و WinDump ، ابزارهای نظارت بر شبکه که از PCAP نیز استفاده می کنند تا از ذره بین برای عملکرد شبکه استفاده کنند..

مثال ابزار تجزیه و تحلیل بسته های اختصاصی

مانیتور عملکرد شبکه SolarWinds (آزمایشی رایگان)

مانیتور عملکرد شبکه SolarWinds نمونه ای از ابزار نظارت بر شبکه است که می تواند داده های PCAP را ضبط کند. می توانید نرم افزار را روی یک دستگاه نصب کرده و سپس داده های بسته را که از کل شبکه کشیده شده است ، نظارت کنید. داده های بسته به شما امکان می دهد زمان پاسخ شبکه را اندازه گیری کرده و حملات را تشخیص دهید.

کاربر می تواند داده های بسته را از طریق مشاهده کند داشبورد کیفیت تجربه, که شامل خلاصه ای از عملکرد شبکه است. نمایشگرهای گرافیکی آسان تر نشان دادن سنبله در ترافیک یا ترافیک مخرب که می تواند حمله سایبری باشد را آسان تر می کند.

طرح این برنامه همچنین کاربر را قادر می سازد تا براساس میزان ترافیکی که پردازش می کند ، برنامه ها را از یکدیگر متمایز کند. عواملی مانند میانگین زمان پاسخگویی به شبکه, میانگین زمان پاسخ برنامه, حجم کل داده ها, و تعداد # معاملات به کاربر کمک کنید تا با تغییر در شبکه به هنگام پخش زنده ، سرعت خود را حفظ کند. همچنین یک آزمایش 30 روزه رایگان برای بارگیری در دسترس است.

SolarWinds Monitor Network MonitorDownload آزمایشی 30 روزه رایگان

تجزیه و تحلیل پرونده PCAP: ابتلا به حملات در ترافیک شبکه 

خرخر کردن بسته برای هر سازمانی که دارای شبکه باشد ضروری است. پرونده های PCAP یکی از منابعی است که مدیران شبکه می توانند از آن برای گرفتن میکروسکوپ برای عملکرد و کشف حملات استفاده کنند. گرفتن بسته ها نه تنها به رسیدن به نتیجه اصلی حملات کمک می کند بلکه به عیب یابی کارایی تنبل کمک می کند..

ابزارهای ضبط بسته منبع آزاد مانند Wireshark و tcpdump به مدیران شبکه ابزارهایی می دهند که بدون خرج ثروت ، عملکرد ضعیف شبکه را اصلاح کنند. همچنین طیف وسیعی از ابزارهای اختصاصی برای شرکت هایی که می خواهند تجربه پیشرفته تر تجزیه و تحلیل بسته ها را داشته باشند وجود دارد.

با استفاده از قدرت پرونده های PCAP ، کاربر می تواند وارد یک خرسی بسته شود و اطلاعات ترافیک را جمع آوری کند و ببیند منابع شبکه در کجا مصرف می شود. استفاده از فیلترهای صحیح همچنین باعث می شود نویزهای سفید و سنگفرش کردن بر روی مهمترین داده ها بسیار ساده تر شود.