pcap - pcap

В области компьютера администрирования сети, pcap представляет собой интерфейс прикладного программирования (API) для захват сетевого трафика. Хотя имя является сокращением от захвата пакетов, это не собственное имя API. Unix-подобные системы реализуют pcap в библиотеке libpcap; для Windows существует порт libpcap с именем WinPcap, который больше не поддерживается или не разрабатывается, и порт с именем Npcap для Windows 7 и более поздних версий, который все еще остается поддерживается.

Программное обеспечение для мониторинга может использовать libpcap, WinPcap или Npcap для захвата сетевых пакетов, проходящих через компьютерную сеть, а в более новых версиях - для передачи пакетов по сети на канальный уровень и получить список сетевых интерфейсов для возможного использования с libpcap, WinPcap или Npcap.

API pcap написан на C, поэтому другие языки, такие как Java, .NET языки и языки сценариев обычно используют оболочку ; такие оболочки не предоставляются ни libpcap, ни самим WinPcap. Программы на C ++ могут напрямую связываться с C API или использовать объектно-ориентированную оболочку.

• 1 Функции
• 2 История
• 3 библиотеки pcap для Windows
  • 3.1 WinPcap
  • 3.2 Npcap
  • 3.3 Win10Pcap
• 4 Программы, использующие libpcap
• 5 Wrapper библиотеки для libpcap
• 6 Код без pcap, который читает файлы pcap
• 7 Ссылки
• 8 Внешние ссылки

libpcap, WinPcap и Npcap предоставляют механизмы захвата и фильтрации пакетов многих открытых и коммерческих сетевых инструментов, включая анализаторы протоколов (анализаторы пакетов ), сетевые мониторы, системы обнаружения сетевых вторжений, генераторы трафика и сетевые тестеры.

libpcap, WinPcap и Npcap также поддерживают сохранение захваченных пакетов в файл и чтение файлов, содержащих сохраненные пакеты; приложения могут быть написаны с использованием libpcap, WinPcap или Npcap, чтобы иметь возможность захватывать сетевой трафик и анализировать его или читать сохраненный захват и анализировать его, используя тот же код анализа. Файл захвата, сохраненный в формате, который используют libpcap, WinPcap и Npcap, может быть прочитан приложениями, которые понимают этот формат, например tcpdump, Wireshark, CA или Microsoft Network Monitor 3.x.

Тип MIME для формата файла, созданного и читаемого libpcap, WinPcap и Npcap, - application / vnd.tcpdump.pcap. Типичное расширение файла -.pcap, хотя.cap и.dmp также широко используются.

libpcap был первоначально разработан разработчиками tcpdump в Сети. Исследовательская группа в Лаборатории Лоуренса Беркли. Код низкоуровневого захвата пакетов, чтения файлов захвата и записи файлов захвата для tcpdump был извлечен и преобразован в библиотеку, с которой был связан tcpdump. Сейчас он разрабатывается той же группой tcpdump.org, которая занимается разработкой tcpdump.

Хотя libpcap изначально разрабатывался для Unix-подобных операционных систем, успешный порт для Windows был сделан WinPcap. Он не поддерживается с 2013 года, и было выпущено несколько конкурирующих вилок с новыми функциями и поддержкой более новых версий Windows.

WinPcap

WinPcap состоит из:

• x86 и x86-64 драйверов для семейства Windows NT (Windows NT 4.0, 2000, XP, Server 2003, Vista, 7, 8 и 10 ), в которых используется Спецификация интерфейса сетевого драйвера (NDIS) 5.x для чтения пакетов непосредственно из сетевого адаптера; ;
• реализации библиотеки нижнего уровня для перечисленных операционных систем, для связи с этими драйверами;
• порт libpcap, который использует API, предлагаемый низкоуровневыми реализациями библиотек.

Программисты из Туринского политехнического университета написали исходный код; с 2008 года CACE Technologies, компания, созданная некоторыми разработчиками WinPcap, разрабатывала и поддерживала продукт. CACE был приобретен Riverbed Technology 21 октября 2010 года.

Поскольку WinPcap использует более старые API-интерфейсы NDIS 5.x, он не работает в некоторых сборках Windows 10, которые устарели или удалили эти API в пользу более новых API NDIS 6.x. Это также накладывает некоторые ограничения, такие как невозможность захвата тегов 802.1Q VLAN в заголовках Ethernet.

Npcap

Npcap - это библиотека сниффинга пакетов проекта Nmap для Windows. Он основан на библиотеках Winpcap / Libpcap, но с повышенной скоростью, переносимостью, безопасностью и эффективностью. Npcap предлагает:

• Поддержка NDIS 6: Npcap использует новый API NDIS 6 Light-Weight Filter (LWF) в Windows Vista и более поздних версиях (устаревший драйвер используется в XP). Это быстрее, чем устаревший API NDIS 5.
• Последняя поддержка API libpcap: Npcap обеспечивает поддержку последней версии API libpcap, принимая libpcap в качестве подмодуля Git. Последняя версия libpcap 1.8.0 включает в себя более интересные возможности и функции, чем устаревшая libpcap 1.0.0, поставляемая WinPcap. Более того, поскольку Linux уже имеет хорошую поддержку последней версии libpcap API, использование Npcap в Windows упрощает создание программного обеспечения на основе одного и того же API как в Windows, так и в Linux.
• Дополнительная безопасность: Npcap может быть ограничен, чтобы только администраторы могли нюхать пакеты. Пользователь, не являющийся администратором, должен будет пройти диалоговое окно Контроль учетных записей (UAC), чтобы использовать драйвер. Это концептуально похоже на UNIX, где для захвата пакетов обычно требуется root-доступ. В драйвере также включены функции безопасности Windows ASLR и DEP.
• Совместимость с WinPcap: если этот параметр выбран, Npcap будет использовать каталоги DLL в стиле WinPcap («c: \ Windows \ System32 ») и имя службы (« npf »), что позволяет программам, созданным с учетом WinPcap, прозрачно использовать вместо этого Npcap. Если режим совместимости не выбран, Npcap устанавливается в другом месте с другим именем службы, чтобы оба драйвера могли сосуществовать в одной системе.
• Захват пакетов с обратной связью: Npcap может прослушивать пакеты с обратной связью (передачи между сервисов на одном компьютере) с помощью платформы фильтрации Windows (WFP). После установки Npcap создаст адаптер с именем Npcap Loopback Adapter.
• Loopback Packet Injection: Npcap также может отправлять петлевые пакеты, используя технику Winsock Kernel (WSK).
• Raw 802.11 Packet Capture. : Npcap может видеть пакеты 802.11 вместо поддельных пакетов Ethernet на обычных беспроводных адаптерах.

Win10Pcap

Реализация Win10Pcap также основана на модели драйвера NDIS 6 и стабильно работает с Windows 10.

Однако по состоянию на 2020 год проект неактивен с 2016 года.

• Apache Drill, механизм SQL с открытым исходным кодом для интерактивного анализа крупномасштабных наборов данных.
• Бит -Twist, генератор и редактор пакетов Ethernet на основе libpcap для BSD, Linux и Windows.
• Cain and Abel, инструмент восстановления пароля для Microsoft Windows
• EtherApe, графический инструмент для мониторинга сетевого трафика и использования полосы пропускания в реальном времени.
• Firesheep, расширение для веб-браузера Firefox, которое захватывает s пакеты и выполняет захват сеанса
• iftop, инструмент для отображения использования полосы пропускания (например, top для сетевого трафика)
• Kismet, для беспроводных локальных сетей 802.11
• L0phtCrack, приложение password аудита и восстановление.
• McAfee ePolicy Orchestrator, функция Rogue System Detection
• ngrep, иначе «сеть grep », изолирует строки в пакетах, показывает данные пакета в удобном для человека выводе.
• Nmap, сканирование портов и отпечаток пальца сетевая утилита
• Pirni, инструмент сетевой безопасности для взломанных устройств iOS.
• Scapy, инструмент управления пакетами для компьютера сетей, написанных на Python Филиппом Бионди.
• Snort, система обнаружения сетевых вторжений.
• Suricata, платформа предотвращения и анализа сетевых вторжений.
• Symantec Data Loss Prevention. Используется для мониторинга и идентификации конфиденциальных данных, отслеживания их использования и местонахождения. Политики потери данных позволяют заблокировать передачу конфиденциальных данных из сети или их копирование на другое устройство.
• tcpdump, инструмент для захвата и сброса пакетов для дальнейшего анализа, и WinDump, порт tcpdump для Windows.
• Bro IDS и платформа мониторинга сети.
• URL Snooper, найдите URL-адреса аудио- и видеофайлов, чтобы разрешить записывать их.
• WhatPulse, приложение для статистического измерения (входные данные, сеть, время безотказной работы).
• Wireshark (ранее Ethereal), графический инструмент для захвата пакетов и анализа протоколов.
• XLink Kai Программное обеспечение, позволяющее играть в различные игры для LAN-консоли в режиме онлайн
• Xplico, инструмент сетевого криминалистического анализа (NFAT).

• C ++ : Libtins, Libcrafter, PcapPlusPlus
• Perl : Net :: Pcap
• Python : python-libpcap, Pcapy, WinPcapy
• Ruby : PacketFu
• Rust : pcap
• Tcl : tclpcap, tcap, pktsrc
• Java : jpcap, jNetPcap, Jpcap, Pcap4j, Jxnet
• .NET : WinPcapNET, SharpPcap, Pcap.Net
• Haskell : pcap
• OCaml : mlpcap
• Chicken Схема: pcap
• Common Lisp : PLOKAMI
• Racket : SPeaCAP
• Go : pcap от Андреаса Креннмэра, pcap форк предыдущего, созданный Миком Гибеном, pcap, разработанный как часть gopacket пакета
• Erlang : epcap
• Node.js : node_pcap

• Python : pycapfile
• Python : PyPCAPKit

• Портал бесплатного программного обеспечения с открытым исходным кодом

• Официальный сайт, libpcap, tcpdump
• Официальный сайт, WinPcap, WinDump
• Официальный сайт, Npcap
• Список общедоступные файлы PCAP