PCAP: การจับแพ็คเก็ตมันคืออะไรและคุณต้องรู้อะไร

แพ็คเก็ตจับภาพ หรือ PCAP (หรือเรียกอีกอย่างว่า libpcap) เป็นแอปพลิเคชันการเขียนโปรแกรมอินเทอร์เฟซ (API) ที่รวบรวมข้อมูลแพ็คเก็ตเครือข่ายสดจาก OSI รุ่นเลเยอร์ 2-7 เครื่องวิเคราะห์เครือข่ายเช่น Wireshark สร้างไฟล์. pcap เพื่อรวบรวมและบันทึกข้อมูลแพ็คเก็ตจากเครือข่าย PCAP มีหลายรูปแบบรวมถึง libpcap, WinPcap, และ PCAPng.

ไฟล์ PCAP เหล่านี้สามารถใช้เพื่อดูแพ็กเก็ตเครือข่าย TCP / IP และ UDP ถ้าคุณต้องการบันทึกทราฟฟิกเครือข่ายคุณต้องสร้าง. pcapfile คุณสามารถสร้าง. pcapfile ได้โดยใช้เครื่องมือวิเคราะห์เครือข่ายหรือเครื่องมือตรวจจับแพ็คเก็ตเช่น Wireshark หรือ tcpdump ในบทความนี้เราจะดูว่า PCAP คืออะไรและทำงานอย่างไร.

ทำไมฉันต้องใช้ PCAP? 

PCAP เป็นทรัพยากรที่มีค่าสำหรับการวิเคราะห์ไฟล์และตรวจสอบปริมาณการใช้เครือข่ายของคุณ เครื่องมือรวบรวมแพ็คเก็ตเช่น Wireshark ช่วยให้คุณสามารถรวบรวมทราฟฟิกเครือข่ายและแปลเป็นรูปแบบที่มนุษย์สามารถอ่านได้ มีสาเหตุหลายประการที่ทำให้ PCAP ใช้ตรวจสอบเครือข่าย บางส่วนที่พบมากที่สุด ได้แก่ การใช้แบนด์วิดท์การตรวจสอบการระบุเซิร์ฟเวอร์ DHCP อันธพาลตรวจจับมัลแวร์การแก้ไข DNS และการตอบสนองต่อเหตุการณ์.

สำหรับผู้ดูแลระบบเครือข่ายและนักวิจัยด้านความปลอดภัยการวิเคราะห์ไฟล์แพ็คเก็ตเป็นวิธีที่ดีในการตรวจจับการบุกรุกเครือข่ายและกิจกรรมที่น่าสงสัยอื่น ๆ ตัวอย่างเช่นหากแหล่งที่มากำลังส่งทราฟฟิกที่เป็นอันตรายจำนวนมากในเครือข่ายคุณสามารถระบุได้ว่าในตัวแทนซอฟต์แวร์จากนั้นดำเนินการเพื่อแก้ไขการโจมตี.

Packet Sniffer ทำงานอย่างไร?

ตัวกรองการแสดงผล Wireshark

ในการจับไฟล์ PCAP คุณต้องใช้แพ็คเก็ตดมกลิ่น แพ็คเก็ตดมกลิ่นจับแพ็คเก็ตและนำเสนอพวกเขาในวิธีที่ง่ายต่อการเข้าใจ เมื่อใช้ PCAP ดมกลิ่นสิ่งแรกที่คุณต้องทำคือระบุว่าคุณต้องการสูดดมอินเทอร์เฟซใด หากคุณใช้อุปกรณ์ Linux อาจเป็นได้ eth0 หรือ wlan0. คุณสามารถเลือกอินเตอร์เฟสด้วย คำสั่ง ifconfig.

เมื่อคุณทราบว่าอินเทอร์เฟซที่คุณต้องการดมกลิ่นแล้วคุณสามารถเลือกประเภทของปริมาณข้อมูลที่คุณต้องการตรวจสอบ ตัวอย่างเช่นถ้าคุณต้องการมอนิเตอร์แพ็กเก็ต TCP / IP เท่านั้นคุณสามารถสร้างกฎเพื่อทำสิ่งนี้ เครื่องมือหลายตัวเสนอตัวกรองที่ช่วยให้คุณควบคุมปริมาณการใช้ข้อมูลที่คุณรวบรวม.

ตัวอย่างเช่น Wireshark ช่วยให้คุณสามารถกรองประเภทการรับส่งข้อมูลที่คุณเห็นด้วยตัวกรองการจับภาพและตัวกรองการแสดงผล ตัวกรองการจับภาพช่วยให้คุณสามารถกรองปริมาณการใช้ข้อมูลที่คุณจับภาพและตัวกรองการแสดงผลอนุญาตให้คุณกรองปริมาณการใช้ข้อมูลที่คุณเห็น ตัวอย่างเช่นคุณสามารถกรองโปรโตคอลโฟลว์หรือโฮสต์.

เมื่อคุณรวบรวมทราฟฟิกที่กรองแล้วคุณสามารถเริ่มมองหาปัญหาด้านประสิทธิภาพ สำหรับการวิเคราะห์ที่ตรงเป้าหมายยิ่งขึ้นคุณสามารถกรองตามพอร์ตต้นทางและพอร์ตปลายทางเพื่อทดสอบองค์ประกอบเครือข่ายเฉพาะ ข้อมูลที่บันทึกทั้งหมดสามารถใช้เพื่อแก้ไขปัญหาประสิทธิภาพเครือข่าย.

รุ่นของ PCAP

ดังที่กล่าวข้างต้นมีไฟล์ PCAP หลายประเภทรวมถึง:

  • libpcap
  • WinPcap
  • PCAPng
  • Npcap

แต่ละรุ่นมีกรณีการใช้งานของตัวเองและเครื่องมือตรวจสอบเครือข่ายประเภทต่าง ๆ รองรับไฟล์ PCAP ในรูปแบบที่แตกต่างกัน ตัวอย่างเช่น Libpcap เป็นไลบรารี c / C ++ แบบพกพาโอเพนซอร์สที่ออกแบบมาสำหรับผู้ใช้ Linux และ Mac OS Libpcap ช่วยให้ผู้ดูแลระบบสามารถจับภาพและกรองแพ็คเก็ต เครื่องมือการดมแพ็คเก็ตเช่น tcpdump ใช้รูปแบบ Libpcap.

สำหรับผู้ใช้ Windows มีรูปแบบ WinPcap WinPcap เป็นอีกหนึ่งไลบรารีการจับแพ็คเก็ตแบบพกพาที่ออกแบบมาสำหรับอุปกรณ์ Windows WinpCap ยังสามารถจับภาพและกรองแพ็คเก็ตที่รวบรวมจากเครือข่าย เครื่องมือที่ชอบ Wireshark, nmap, และ การดื่มอย่างรวดเร็ว ใช้ WinPCap เพื่อตรวจสอบอุปกรณ์ แต่ตัวโปรโตคอลเองได้ถูกยกเลิก.

Pcapng หรือ. pcap รูปแบบไฟล์จับภาพยุคถัดไปเป็นเวอร์ชัน PCAP ขั้นสูงที่มาพร้อมกับ Wireshark Pcapng สามารถจับภาพและจัดเก็บข้อมูล ชนิดของ data pcapng ที่รวบรวมรวมถึงความแม่นยำของการประทับเวลาที่เพิ่มขึ้นความคิดเห็นของผู้ใช้และสถิติการจับภาพเพื่อให้ข้อมูลเพิ่มเติมแก่ผู้ใช้.

เครื่องมืออย่าง Wireshark ใช้ PCAPng เพราะสามารถบันทึกข้อมูลได้มากกว่า PCAP อย่างไรก็ตามปัญหาของ PCAPng คือมันเข้ากันไม่ได้กับเครื่องมือมากมายเท่า PCAP.

Npcap เป็นไลบรารีการดักจับแพ็คเก็ตแบบพกพาสำหรับ Windows ที่ผลิตโดย Nmap ซึ่งเป็นหนึ่งในผู้จำหน่ายแพ็คเก็ตดมกลิ่นที่รู้จักกันดีที่สุด ไลบรารีเร็วกว่าและปลอดภัยกว่า WinpCap Npcap มีการสนับสนุนสำหรับ Windows 10 และการฉีดแพ็คเก็ตจับภาพย้อนกลับเพื่อให้คุณสามารถส่งและดมกลิ่นแพ็คเก็ตย้อนกลับ Npcap รองรับ Wireshark ด้วย.

ข้อดีของ Packet Capturing และ PCAP 

ข้อได้เปรียบที่ใหญ่ที่สุดของการดักจับแพ็กเก็ตคือให้การมองเห็น คุณสามารถใช้ข้อมูลแพ็คเก็ตเพื่อระบุสาเหตุของปัญหาเครือข่าย คุณสามารถตรวจสอบแหล่งที่มาของการรับส่งข้อมูลและระบุข้อมูลการใช้งานของแอปพลิเคชันและอุปกรณ์ต่างๆ ข้อมูล PCAP ให้ข้อมูลตามเวลาจริงที่คุณต้องการในการค้นหาและแก้ไขปัญหาด้านประสิทธิภาพเพื่อให้เครือข่ายทำงานได้หลังจากเหตุการณ์ด้านความปลอดภัย.

ตัวอย่างเช่นคุณสามารถระบุได้ว่ามีมัลแวร์ใดบ้างที่ละเมิดเครือข่ายโดยการติดตามการไหลของปริมาณการใช้งานที่เป็นอันตรายและการสื่อสารที่เป็นอันตรายอื่น ๆ หากไม่มี PCAP และเครื่องมือการจับแพ็คเก็ตมันจะยากต่อการติดตามแพ็กเก็ตและจัดการความเสี่ยงด้านความปลอดภัย.

เป็นรูปแบบไฟล์ที่เรียบง่าย PCAP มีข้อดีของการเข้ากันได้กับโปรแกรมดมกลิ่นแพกเก็ตเกือบทุกชนิดที่คุณนึกออกด้วยเวอร์ชันต่าง ๆ สำหรับ Windows, Linux และ Mac OS การจับแพ็คเก็ตสามารถปรับใช้ในเกือบทุกสภาพแวดล้อม.

ข้อเสียของการจับแพ็คเก็ตและ PCAP 

แม้ว่าการดักจับแพ็กเก็ตเป็นเทคนิคการตรวจสอบที่มีประโยชน์ แต่ก็มีข้อ จำกัด การวิเคราะห์แพ็คเก็ตช่วยให้คุณตรวจสอบปริมาณการใช้เครือข่าย แต่ไม่ได้ตรวจสอบทุกอย่าง มีการโจมตีทางไซเบอร์มากมายที่ไม่ได้เปิดตัวผ่านการรับส่งข้อมูลเครือข่ายดังนั้นคุณต้องมีมาตรการรักษาความปลอดภัยอื่น ๆ.

ตัวอย่างเช่นผู้โจมตีบางคนใช้ USB และการโจมตีด้วยฮาร์ดแวร์อื่น ๆ ดังนั้นการวิเคราะห์ไฟล์ PCAP ควรเป็นส่วนหนึ่งของกลยุทธ์ความปลอดภัยเครือข่ายของคุณ แต่มันไม่ควรจะเป็นแนวป้องกันเพียงอย่างเดียวของคุณ.

อุปสรรคที่สำคัญอีกประการหนึ่งในการจับแพ็คเก็ตคือการเข้ารหัส ผู้โจมตีทางไซเบอร์จำนวนมากใช้การสื่อสารที่เข้ารหัสเพื่อเริ่มการโจมตีบนเครือข่าย การเข้ารหัสจะหยุดแพ็คเก็ตดมกลิ่นของคุณจากความสามารถในการเข้าถึงข้อมูลการจราจรและระบุการโจมตี นั่นหมายถึงการโจมตีที่เข้ารหัสจะหลบซ่อนอยู่ภายใต้เรดาร์หากคุณวางใจใน PCAP.

นอกจากนี้ยังมีปัญหาเกี่ยวกับตำแหน่งที่ดมแพ็คเก็ต หากวางแพ็กเก็ตดมกลิ่นไว้ที่ขอบของเครือข่ายสิ่งนี้จะ จำกัด จำนวนการมองเห็นที่ผู้ใช้มี ตัวอย่างเช่นผู้ใช้อาจล้มเหลวในการเริ่มต้นการโจมตี DDoS หรือการแพร่กระจายของมัลแวร์ นอกจากนี้แม้ว่าคุณกำลังรวบรวมข้อมูลในศูนย์กลางเครือข่ายสิ่งสำคัญคือต้องแน่ใจว่าคุณเก็บรวบรวมการสนทนาทั้งหมดแทนที่จะเป็นข้อมูลสรุป.

เครื่องมือการวิเคราะห์แพ็คเก็ตโอเพนซอร์ส: Wireshark ใช้ไฟล์ PCAP อย่างไร? 

Wireshark เป็นเครื่องมือวิเคราะห์การจราจรที่ได้รับความนิยมมากที่สุดในโลก Wireshark ใช้ไฟล์. pcap เพื่อบันทึกข้อมูลแพ็คเก็ตที่ถูกดึงออกมาจากการสแกนเครือข่าย ข้อมูลแพ็คเก็ตจะถูกบันทึกในไฟล์ที่มีนามสกุลไฟล์. pcap และสามารถใช้เพื่อค้นหาปัญหาด้านประสิทธิภาพและการโจมตีทางไซเบอร์บนเครือข่าย.

กล่าวอีกนัยหนึ่งไฟล์ PCAP สร้างบันทึกข้อมูลเครือข่ายที่คุณสามารถดูผ่าน Wireshark จากนั้นคุณสามารถประเมินสถานะของเครือข่ายและระบุว่ามีปัญหาการบริการใด ๆ ที่คุณต้องการตอบสนองหรือไม่.

โปรดทราบว่า Wireshark ไม่ใช่เครื่องมือเดียวที่สามารถเปิดไฟล์. apk ทางเลือกอื่น ๆ ที่ใช้กันอย่างแพร่หลาย ได้แก่ tcpdump และ WinDump เครื่องมือตรวจสอบเครือข่ายที่ใช้ PCAP เพื่อนำแว่นขยายไปใช้กับประสิทธิภาพเครือข่าย.

ตัวอย่างเครื่องมือการวิเคราะห์แพ็คเก็ตที่เป็นกรรมสิทธิ์

SolarWinds การตรวจสอบประสิทธิภาพเครือข่าย (ทดลองใช้ฟรี)

ภาพหน้าจอ SolarWinds Network Performance Monitor

SolarWinds การตรวจสอบประสิทธิภาพเครือข่าย เป็นตัวอย่างของเครื่องมือตรวจสอบเครือข่ายที่สามารถบันทึกข้อมูล PCAP ได้ คุณสามารถติดตั้งซอฟต์แวร์บนอุปกรณ์จากนั้นตรวจสอบข้อมูลแพ็คเก็ตที่ดึงมาจากเครือข่ายทั้งหมด ข้อมูลแพ็คเก็ตจะช่วยให้คุณสามารถวัดเวลาตอบสนองของเครือข่ายและวินิจฉัยการโจมตี.

ผู้ใช้สามารถดูข้อมูลแพ็คเก็ตผ่านทาง แดชบอร์ดคุณภาพของประสบการณ์, ซึ่งรวมถึงบทสรุปของประสิทธิภาพเครือข่าย จอแสดงผลกราฟิกช่วยให้ระบุตำแหน่งได้ง่ายขึ้นในทราฟฟิกหรือทราฟฟิกที่เป็นอันตรายซึ่งอาจบ่งบอกถึงการโจมตีทางไซเบอร์.

เลย์เอาต์ของโปรแกรมยังช่วยให้ผู้ใช้สามารถแยกแอพพลิเคชั่นตามปริมาณการรับส่งข้อมูลที่กำลังประมวลผล ปัจจัยต่าง ๆ เช่น เวลาตอบกลับเครือข่ายโดยเฉลี่ย, เวลาตอบกลับแอพพลิเคชันโดยเฉลี่ย, ปริมาณข้อมูลทั้งหมด, และ จำนวนธุรกรรมทั้งหมด ช่วยผู้ใช้ให้ทันกับการเปลี่ยนแปลงเครือข่ายเมื่อพวกเขาเกิดขึ้นจริง นอกจากนี้ยังมีการดาวน์โหลดทดลองใช้ฟรี 30 วัน.

SolarWinds Network Performance Monitor ดาวน์โหลดทดลองใช้ฟรี 30 วัน

การวิเคราะห์ไฟล์ PCAP: การดักจับการโจมตีในเครือข่าย 

Packet sniffing เป็นสิ่งที่จำเป็นสำหรับองค์กรที่มีเครือข่าย ไฟล์ PCAP เป็นหนึ่งในทรัพยากรเหล่านั้นที่ผู้ดูแลระบบเครือข่ายสามารถใช้เพื่อใช้กล้องจุลทรรศน์เพื่อประสิทธิภาพและค้นหาการโจมตี การจับแพ็คเก็ตไม่เพียง แต่ช่วยให้ไปถึงก้นสาเหตุของการโจมตีเท่านั้น แต่ยังช่วยในการแก้ไขปัญหาประสิทธิภาพการทำงานที่ซบเซา.

เครื่องมือจับแพกเก็ตโอเพนซอร์สเช่น Wireshark และ tcpdump ให้เครื่องมือผู้ดูแลระบบเครือข่ายเพื่อแก้ไขประสิทธิภาพเครือข่ายที่ไม่ดีโดยไม่ต้องเสียเงิน นอกจากนี้ยังมีเครื่องมือที่เป็นกรรมสิทธิ์สำหรับ บริษัท ที่ต้องการประสบการณ์การวิเคราะห์แพ็คเก็ตขั้นสูง.

ด้วยพลังของไฟล์ PCAP ผู้ใช้สามารถเข้าสู่แพ็คเก็ตดมกลิ่นรวบรวมข้อมูลการจราจรและดูว่ามีการใช้ทรัพยากรเครือข่ายใด การใช้ตัวกรองที่ถูกต้องจะทำให้ง่ายขึ้นในการขจัดเสียงรบกวนสีขาวและเข้าถึงข้อมูลที่สำคัญที่สุด.

About the author