PCAP-over-IP

PCAP-over-IP to metoda przesyłania przechwyconego ruchu sieciowego przez połączenie TCP . Przechwycony ruch sieciowy jest przesyłany przez TCP jako PCAP w celu zachowania odpowiednich metadanych dotyczących pakietów, takich jak znaczniki czasu.

Tło i etymologia

Pierwsze znane użycie terminu PCAP-over-IP zostało użyte przez Packet Forensics w 2011 roku. Jednak koncepcja kryjąca się za PCAP-over-IP została wspomniana już w 2008 roku jako część prośby o funkcję dla Wireshark . Potrzeba tej funkcji została uzasadniona w następujący sposób:

„Ta funkcja jest przydatna, gdy przechwytywanie jest generowane na komputerze, który nie ma dużo pamięci (np. system wbudowany). Np. aplikacja ipmb_traced dostępna w menedżerach półek Pigeon Point może przesyłać przechwytywanie przez połączenie TCP bez zapisywania go w systemie plików. "

Przypadków użycia

Typowe przypadki użycia dla PCAP-over-IP obejmują:

• Przesyłanie przechwyconego ruchu sieciowego w czasie rzeczywistym do zdalnej maszyny
• Przenoszenie ruchu sieciowego między dwiema aplikacjami na tym samym hoście
• Dostarczanie odszyfrowanego ruchu z serwera proxy przechwytywania TLS do analizatora pakietów lub systemu IDS .

Oprogramowanie z obsługą PCAP-over-IP

• Arkime
• NetworkMiner
• PolarProxy
• Wireshark
• Xplico

Obejścia

Oprogramowanie, które może wykrywać ruch sieciowy, ale nie obsługuje PCAP-over-IP, może odczytywać pakiety od dostawcy PCAP-over-IP za pomocą kombinacji netcat i tcpreplay.

nc [SERWER] 57012 | tcpreplay -i eth0 -t -