ضبط بسته یا PCAP همچنین به عنوان libpcap نیز شناخته می شود یک رابط برنامه نویسی برنامه API است که داده های بسته شبکه زنده را از لایه های 2-7 مدل OSI ضبط می کند. آنالایزرهای شبکه مانند Wireshark برای جمع آوری و ضبط داده های بسته از یک شبکه، فایلهای pcap را که در طیف وسیع قرار دارند ایجاد می کنند. فایلهای PCAP را می توان برای مشاهده بسته های شبکه TCP / IP و UDP استفاده کرد. اگر قصد ضبط ترافیک شبکه را داشته باشیم، باید یک pcapfile ایجاد نمود، در این راستا میتوان با استفاده از آنالایزر شبکه یا ابزار خراب کردن بسته مانند Wireshark یاtcpdump، یک pcapfile ایجاد کرد.
نام دسته ای از کتابخانه های برنامه نویسی را که میتواند ضبط ترافیک شبکه را عملیاتی نماید PCAP نام گذاری نموده اند. دو پیاده سازی رایج از این کتابخانه، libpcap در سیستم عامل های شبکه یونیکس و winpcap در سیستم عامل های مایکروسافت ویندوز هستند که winpcap در حقیقت پورتی از libpcap است. برنامه های نظاره گر و پویشگر شبکه میتوانند از این کتابخانه برای ضبط کردن و بدست آوردن بسته هایی که در حال گردش در شبکه هستند، استفاده کنند. در نسخه های جدیدتر این کتابخانه، میتوان بسته هایی را در لایه پیوند داده بر روی شبکه ارسال کرد یا لیست تمام رابط های شبکه را بدست آورد. کتابخانه PCAP به زبان C نوشته شده است، اما زبان های دیگر مانند جاوا، .net و دیگر زبان های مفسری هم میتوانند به کمک یک جلد کتابخانه از آن استفاده کنند. به کمک این کتابخانه ها میتوان بسته های شبکه را از طریق کارت شبکه ضبط کرده و در یک فایل ذخیره کرد، یا فایل هایی که حاوی بسته های ذخیره شده هستند را خواند، برنامه ها میتوانند بسته های شبکه را ضبط کرده و آنها را برای اهداف مختلف خود آنالیز کنند.
فایلPCAP یک منبع با ارزش برای تجزیه و تحلیل پرونده ها و نظارت بر ترافیک شبکه شما است، مورد استفاده برایpacket sniffing و تجزیه و تحلیل ویژگی های داده ها در شبکه است که می توان با استفاده از نرم افزارهایی که شامل کتابخانه های libpcap یا WinPcap است، تجزیه و تحلیل کرد . ابزارهای جمع آوری بسته مانند Wireshark به شما امکان می دهد ترافیک شبکه را جمع کنید و آن را به فرمی ترجمه کنید که قابل خواندن توسط انسان باشد. دلایل زیادی وجود دارد که از PCAP برای نظارت بر شبکه ها استفاده می شود. برخی از متداول ترین آنها شامل نظارت بر استفاده از پهنای باند، شناسایی سرورهای سرکش DHCP، شناسایی بدافزار، وضوح DNS و پاسخ حادثه است. برای سرپرست شبکه و محققان امنیتی، تجزیه و تحلیل پرونده بسته ای روش مناسبی برای تشخیص مزاحمت های شبکه و سایر فعالیت های مشکوک است.
برای گرفتن پرونده های PCAP ، یک بسته دستی بسته ها را ضبط می کند و آنها را به روشی ارائه می کند که درک آن آسان است. هنگام استفاده از اسکنر این پرونده ، اولین کار این است که مشخص شود چه رابط کاربری برای ایجاد جمع آوری پکت ها انجام می شود، بطور مثال در دستگاه لینوکس ممکن است eth0 یا wlan0 باشند که یک رابط با انتخاب دستور ifconfig. عملی میگردد .Wireshark به شما امکان می دهد نوع ترافیکی که مشاهده می کنید را با فیلترهای ضبط فیلتر کنید و فیلترها را نمایش دهید، فیلترهای ضبط به شما امکان می دهند فیلترهای ترافیکی را که ضبط می کنید فیلتر کنید و به شما اجازه می دهد تا آنچه را که مشاهده می کنید فیلتر کنید. پس از جمع آوری ترافیک فیلتر شده، می توان به دنبال مشکلات عملکرد بود که برای تجزیه و تحلیل هدفمندتر میبایست بر اساس پورت های منبع و پورت های مقصد فیلتر گردد تا عناصر شبکه خاص آزمایش شده و همه اطلاعات ضبط شده برای عیب یابی مشکلات عملکرد شبکه استفاده شوند.
نسخه های PCAP
انواع مختلفی از پرونده های PCAP وجود دارد:
• Libpcap
• WinPcap
• PCAPng
• Npcap
هر نسخه موارد استفاده خاص خود را دارد و انواع مختلفی از ابزارهای نظارت بر شبکه از اشکال مختلف فایلهای PCAP پشتیبانی می کنند. Libpcap یک کتابخانه منبع باز C یا C ++ قابل حمل است که برای کاربران Linux و Mac OS طراحی شده است که مدیران را قادر می سازد تا بسته ها را ضبط و فیلتر کنند، لازم به ذکر است ابزارهای تنظیم کننده بسته مانند tcpdump از قالب Libpcap استفاده می کنند. برای کاربران ویندوز، فرمت WinPcap وجود دارد، این فرمت یکی دیگر از کتابخانه های قابل حمل ضبط بسته است که برای دستگاه های ویندوز طراحی شده است که می تواند بسته های جمع آوری شده از شبکه را ضبط و فیلتر کند.
فرمت فایل Pcapng یا .pcap Next Generation Capture File نسخه پیشرفته تر PCAP است که به صورت پیش فرض با Wireshark همراه است، این فرمت می تواند داده ها را ضبط و ذخیره نماید. نوع جمع آوری داده های pcapng شامل دقت گسترده در زمان سنج، نظرات کاربر و آمار گرفتن از اطلاعات اضافی برای کاربر است. ابزارهایی مانند Wireshark از PCAPng استفاده می کنند زیرا می تواند اطلاعات بیشتری را نسبت به PCAP ضبط کند، البته مشکل PCAPng این است که با بسیاری از ابزارهای PCAP سازگار نمیباشد.
مزایای PCAP
پرونده های PCAP یکی از منابعی است که مدیران شبکه می توانند از آن برای گرفتن میکروسکوپ برای عملکرد و کشف حملات استفاده کنند. گرفتن بسته ها در رسیدن به نتیجه اصلی حملات کمک می کند.برای مشخص کردن علت اصلی مشکلات شبکه می توانید از داده های بسته استفاده کنید. می توانید بر منابع ترافیکی نظارت کرده و داده های مورد استفاده از برنامه ها و دستگاه ها را شناسایی کنید. داده PCAP اطلاعات در زمان واقعی مورد نیاز برای پیدا کردن و حل مشکلات عملکرد برای عملکرد شبکه پس از یک رویداد امنیتی را می دهد.
در استفاده از PCAP با ردیابی جریان ترافیک مخرب و سایر ارتباطات مخرب، قسمتی از بدافزار شبکه را نقض کنید. بدون PCAP و ابزار ضبط بسته، ردیابی بسته ها و مدیریت خطرات امنیتی دشوارتر خواهد بود. به عنوان یک فرمت ساده پرونده، PCAP از این مزیت برخوردار است که تقریباً با هر برنامه خرابکاری بسته ای که می توانید در مورد آن فکر کنید وجود دارد، با طیف وسیعی از نسخه ها برای Windows ،Linux و Mac OS. ضبط بسته ها تقریباً در هر محیطی قابل استفاده هستند.
معایب PCAP
اگرچه ضبط بسته ها یک روش مانیتورینگ ارزشمند است اما محدودیت هایی نیز دارد. تجزیه و تحلیل بسته ها به شما امکان می دهد تا بر ترافیک شبکه نظارت کنید اما همه چیز را رصد نمی کنید. حملات سایبری بسیاری وجود دارد که از طریق ترافیک شبکه راه اندازی نمی شوند، بنابراین باید اقدامات امنیتی دیگری را نیز انجام دهید. برخی از مهاجمین از USB و سایر حملات مبتنی بر سخت افزار استفاده می کنند. در نتیجه، تجزیه و تحلیل پرونده PCAP باید بخشی از استراتژی امنیت شبکه شما باشد اما نباید تنها خط دفاع شما باشد.
یکی دیگر از موانع مهم برای ضبط بسته، رمزگذاری است. بسیاری از مهاجمان سایبری برای ایجاد حمله به شبکه ها از ارتباطات رمزگذاری شده استفاده می کنند. رمزگذاری امکان دسترسی به داده های ترافیکی و شناسایی حملات را ندارد. اگر به PCAP اعتماد دارید، حملات رمزگذاری شده در زیر رادار می لغزد. همچنین درمورد محل قرارگیری گیرنده بسته، مشکلی وجود دارد. اگر یک sniffer بسته در لبه شبکه قرار بگیرد، این میزان دید کاربر را محدود می کند. حال ممکن است کاربر نتواند شروع حمله DDoS یا شیوع بدافزار را متوجه شود. اگر شما در حال جمع آوری داده ها در مرکز شبکه هستید، مهم است که به جای جمع آوری داده ها، کل گفتگوها را جمع آوری کنید.