PCAP-over-IP

PCAP-over-IP — это метод передачи захваченного сетевого трафика через TCP- соединение. ^{[ 1 ]} Захваченный сетевой трафик передается по протоколу TCP в виде файла PCAP , чтобы сохранить соответствующие метаданные о пакетах, например временные метки.

Предыстория и этимология

Первое известное использование термина PCAP-over-IP было осуществлено компанией Packet Forensics в 2011 году. ^{[ 2 ]} Однако концепция PCAP-over-IP упоминалась еще в 2008 году как часть запроса на добавление функции для Wireshark . ^{[ 3 ]} Необходимость в этой функции была мотивирована следующим:

«Эта функция полезна, когда захват создается на машине, которая не имеет большого объема памяти (например, встроенная система). Например, приложение ipmb_traced, доступное на менеджерах полок Pigeon Point, может передавать захват через соединение TCP, не записывая его в файловую систему. "

Варианты использования

Общие случаи использования PCAP-over-IP включают в себя:

Передача захваченного сетевого трафика в режиме реального времени на одну или несколько удаленных машин.
Передача сетевого трафика другим приложениям на том же хосте
Передача расшифрованного трафика от прокси-сервера перехвата TLS к анализатору пакетов или IDS .

Программное обеспечение с поддержкой PCAP-over-IP

АРКИМ ^{[ 4 ]}
Сетевой Майнер ^{[ 5 ]}
pcap-брокер ^{[ 6 ]}
PolarProxy
Вайршарк ^{[ 7 ]}
Xplico ^{[ 8 ]}
Зик ^{[ 9 ]}

Обходные пути

Программное обеспечение, которое может перехватывать сетевой трафик, но не поддерживает PCAP-over-IP, может читать пакеты от провайдера PCAP-over-IP с помощью комбинации netcat и tcpreplay .

nc [SERVER] 57012 | tcpreplay -i eth0 -t -

Ссылки

^ Хельмвик, Эрик (15 августа 2022 г.). «Что такое PCAP через IP?» . Блог Netresec . Нетресек . Проверено 25 августа 2022 г.
^ «Аналитика пакетов — Устройство М1» . Wayback Machine (6 февраля 2011 г.) . Архивировано из оригинала 6 февраля 2011 г. Проверено 26 августа 2022 г.
^ Нейман, Алексей. «Ошибка 2788 — Разрешить захват через TCP-соединения» . База данных ошибок Wireshark . Проверено 25 августа 2022 г.
^ «Настройки Аркиме» . Проверено 25 августа 2022 г.
^ «Pcap-over-IP в NetworkMiner» . 7 сентября 2011 года . Проверено 25 августа 2022 г.
^ «Сервер PCAP-over-IP, написанный на Golang» . Гитхаб . Проверено 24 октября 2023 г.
^ «Пайпы — TCP-сокет» . Wireshark вики . Проверено 25 августа 2022 г.
^ «PCAP-over-IP» . Xplico Wiki . Проверено 25 августа 2022 г.
^ "zeek-pcapovertcp-плагин" . Гитхаб . Проверено 6 сентября 2023 г.

[1] Хельмвик, Эрик (15 августа 2022 г.). «Что такое PCAP через IP?» . Блог Netresec . Нетресек . Проверено 25 августа 2022 г.

[2] «Аналитика пакетов — Устройство М1» . Wayback Machine (6 февраля 2011 г.) . Архивировано из оригинала 6 февраля 2011 г. Проверено 26 августа 2022 г.

[3] Нейман, Алексей. «Ошибка 2788 — Разрешить захват через TCP-соединения» . База данных ошибок Wireshark . Проверено 25 августа 2022 г.

[4] «Настройки Аркиме» . Проверено 25 августа 2022 г.

[5] «Pcap-over-IP в NetworkMiner» . 7 сентября 2011 года . Проверено 25 августа 2022 г.

[6] «Сервер PCAP-over-IP, написанный на Golang» . Гитхаб . Проверено 24 октября 2023 г.

[7] «Пайпы — TCP-сокет» . Wireshark вики . Проверено 25 августа 2022 г.

[8] «PCAP-over-IP» . Xplico Wiki . Проверено 25 августа 2022 г.

[9] "zeek-pcapovertcp-плагин" . Гитхаб . Проверено 6 сентября 2023 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]