Как открыть pcap файл на андроид

Android. Обзор боевых приложений

Доброго времени суток!

Наряду со статьей «iPhone: MiTM атака из кармана», родилась почти аналогичная статья про Android.

Мы уже знаем, на что способен iPhone. Уступает ли ему Android?

Было рассмотрено около 25 боевых приложений. Хочу предоставить вам результат маленького исследования. Многие приложения даже не запустились, некоторые подвесили телефон намертво, но некоторые даже работали!

Весь софт тестировался на телефоне LG Optimus, с версией Android 2.3.

Итак, краткий обзор боевого софта на Android:

1. Shark — Тот самый wireshark. Да, он тоже есть под Android. Работает безупречно. На девайсе завелся без проблем. Пишет логи в *.pcap формате. Складывает на sdcard. Файл легко разбирается как на windows машине, так и на самом телефоне, с помощью Shark Read. (Хорошее приложение. Особенно, если телефон работает в качестве WiFi точки-доступа)

2. DroidSheep / Facesniff — Перехват веб-сессий. Довольно простенькие, но нашумевшие приложения. Цепляемся к открытой точке, запускаем и ждем… Кстати, иногда можно подвесить саму точку.

3. WiFiKill — Приложение из серии must have. Сканирует всю подсеть, в которой вы находитесь. Выводит список устройств. Выбираем непонравившееся, нажимаем на галочку и ждем пару секунд. Устройство остается без интернета.

4. Set MAC address — Меняет свой MAC. Хорошо работает в связке с п.3.

5. Net Swiss Tool Free / Fing — Сканирует беспроводные сети, выводит список подключенных устройств. Может просканировать каждое устройство отдельно, выдать список открытых портов. Суда же входит ping, trace, wake on lan, arp, udp-flood.

6. Wi-Fi Analytics — Красивое приложение. Выводит все доступные точки доступа, SSID, mac, шифрование, мощность сигнала.

7. Hosts Editor — Позволяет редактировать /etc/hosts. Полезное приложение, особенно, когда телефон выступает как WiFi точка.

8. kWS — Android Web Server — web-сервер. Хорошо работает вкупе с пунктом 7.

9. RouterAttack / Route Brute Force ADS 2 — Настоящий BruteForce на Android! Каждое из приложений пытается пробутфорсить Basic Access Authentication. Сам софт немного сыроват. Но мою точку, с паролем 12345 — пробрутил довольно легко и быстро. Для нормальной работы – не забудьте скачать хороший словарик.

10. Router KeyGen — подбирает предустановленные WPA/WEP ключи доступа для вашего Android смартфона, от роутеров, находящихся неподалеку. Хорошо работает с стандартными Thomson, DLink, Pirelli Discus, Eircom, Verizon FiOS.

11. Android Network Toolkit — Anti — Универсальное приложение. Сканер сети, сниффер, MITM, Remote Exploits! Расширяемый функционал за счет плагинов. Чем больший функционал — тем больше денег она стоит.

Большинство из приложений требует наличие прав root’a.
Данная статья написана в ознакомительных целях!

Android PCAP

Android PCAP Capture is a utility for capturing raw 802.11 frames (“Monitor mode”, or sometimes referred to as “Promiscuous mode”). The resulting Pcap files can be viewed on a computer using Eye P.A., Wireshark, Tcpdump and similar tools, or online using CloudShark.

Android PCAP works with Android phones running version 4 (ICS) or higher and Wi-Fi cards that use the RTL 8187 chipset.

How it works

Android PCAP implements the Linux kernel RTL8187 driver in userspace using the Android USB host API. This means it doesn’t require root privileges (a highly dangerous requirement), and will run on stock phone firmware.

It is not possible to capture from the internal Wi-Fi interface on Android without running a custom firmware and gaining root access. Android PCAP was designed to get around those restrictions and provide a secure, standard method.

To go with PCAP capture, you can immediately view your PCAP files using the CloudShark service. To make this even easier on Android, check out CloudShark Uploader, which lets you send directly to CloudShark or a private CloudShark appliance!

Screenshots

Requirements

Android PCAPshould work so long as:

1. Your device runs Android 4.0 or higher (or, in theory, the few devices which run Android 3.2). Earlier versions of Android do not have a USB Host API
2. You have a RTL8187 based USB Wi-Fi NIC. A good example of this is the Alfa One 802.11b/g wireless card. In the future, additional cards will be added.
3. You have an OTG Adapter Cable. This cable enables USB host mode on the device. Devices which have full-sized USB host ports should work without an OTG cable.
4. Your device supports USB Host Mode properly. Some devices do not — see the compatibility section for more information.

Android Compatibility

The following is a non-canonical list of devices and support, if you find a device not listed that it works on (or doesn’t work on) please let us know at android-pcap @ kismetwireless.net

The Nexus 4 does not support OTG. It is not clear if this can be hacked in yet or not.

The Nexus S does not appear to support OTG.

USB Wireless Devices

Any wireless device based on the RTL 8187 chipset should work. This chipset can be found in many different wireless devices, but is easily found in the Alfa One NIC (the 802.11b/g version, not the 802.11a/b/g/n). This card has the advantage of being easy to get (Amazon, other online retailers), it’s reasonably powerful and sensitive, and if you already use Kismet you probably already have one.

There are likely many (hundreds) of other wireless NICs which use the 8187 chipset. Specifically, any device with the USB vendor/device id of 0x0bda,0x8187 should work. You can find the device ID on Linux with the «lsusb» command, and on Windows in the Device Manager.

Using PCAP files

Android PCAP generates stock PCAP files of 802.11 packets with PPI headers. These can be processed by any of the packet handling tools, such as WireShark, Eye P.A., and Kismet. Combined with CloudShark for Android, PCAP files can be uploaded directly to the CloudShark site for decoding in your browser.

Battery Life

Driving a USB attached NIC will definitely negatively impact the battery life of your device.

Splicing in additional power (such as using a hard drive ‘y’ cable or battery powered USB hub) is highly recommended for long-term uses.

We are developing a battery-powered hub solution, with power feed options to support «weird» devices like Motorola phones. Stay tuned.

Internal Wi-Fi

Capturing from the internal Wi-Fi on Android is not typically possible.

There are projects which are trying to hack in support for this, and when it becomes more stable, Android PCAP will attempt to support it, but currently these hacks require custom ROMs, specific phones, and root access.

Android PCAP was specifically designed to not require special hardware (except when phone manufacturers make weird decisions which cripple USB host), or excessive privileges (USB and external storage access).

Get the Code

Source for Android PCAP is available as a Git repository:

Расширение файла PCAP

Packet Capture Data

Что такое файл PCAP?

PCAP — это формат файла, используемый приложениями для мониторинга сетевого трафика. Sniffer (например, Wireshark), как обычно упоминаются такие инструменты, регистрирует пакетные данные и сохраняет их в файл PCAP. Файлы PCAP позволяют пользователям проверять сетевой трафик для данного сеанса захвата (в автономном режиме, а не в режиме реального времени). Анализ и аудит сетевого трафика является важной практикой, которая способствует оптимизации производительности сети и предотвращению кибератак.

Что такое сниффер?

Sniffer — тип программного инструмента, который может захватывать и анализировать сетевой трафик. Инструмент «прослушивает» сетевой трафик в данной сети, переключая сетевой интерфейс, который он прослушивает, в беспорядочный режим, чтобы он мог видеть весь трафик в данной сети, включая данные, не адресованные этому конкретному интерфейсу. Запуск анализатора на маршрутизаторе на компьютере, подключенном к сети, не требует беспорядочного использования. Sniffer также может относиться к электронному устройству для мониторинга сетевого трафика.

Программное приложение Wireshark

Wireshark — это бесплатный инструмент анализатора, доступный для систем Windows, Linux и Mac. Этот инструмент предлагает множество функций и функций, которые сделали его самым популярным инструментом анализа сетевого трафика. Wireshark используется как профессиональными лабораториями или ИТ-компаниями, так и отдельными пользователями для личного пользования. Ethereal был первоначальным названием этого инструмента до мая 2006 года, когда он был переименован в Wireshark. Ethereal использовал формат файла PCAP для хранения данных сетевого трафика.

Программы, которые поддерживают PCAP расширение файла

Ниже вы найдете указатель программ, которые можно использовать для открытия файлов PCAP, разделенных на категории 2 в соответствии с поддерживаемой системной платформой. Файлы с суффиксом PCAP могут быть скопированы на любое мобильное устройство или системную платформу, но может быть невозможно открыть их должным образом в целевой системе.

Программы, обслуживающие файл PCAP

• WinDump
• Wireshark

• NetworkMiner
• tcpdump

Updated: 06/28/2020

Как открыть файл PCAP?

Причин, по которым у вас возникают проблемы с открытием файлов PCAP в данной системе, может быть несколько. Что важно, все распространенные проблемы, связанные с файлами с расширением PCAP, могут решать сами пользователи. Процесс быстрый и не требует участия ИТ-специалиста. Приведенный ниже список проведет вас через процесс решения возникшей проблемы.

Шаг 1. Получить Wireshark

Проблемы с открытием и работой с файлами PCAP, скорее всего, связаны с отсутствием надлежащего программного обеспечения, совместимого с файлами PCAP на вашем компьютере. Эта проблема может быть решена путем загрузки и установки # РЕКОМЕНДОВАННОЙ # или другой совместимой программы, такой как WinDump, NetworkMiner, tcpdump. В верхней части страницы находится список всех программ, сгруппированных по поддерживаемым операционным системам. Одним из наиболее безопасных способов загрузки программного обеспечения является использование ссылок официальных дистрибьюторов. Посетите сайт Wireshark и загрузите установщик.

Шаг 2. Обновите Wireshark до последней версии

Если у вас уже установлен Wireshark в ваших системах и файлы PCAP по-прежнему не открываются должным образом, проверьте, установлена ли у вас последняя версия программного обеспечения. Разработчики программного обеспечения могут реализовать поддержку более современных форматов файлов в обновленных версиях своих продуктов. Причиной того, что Wireshark не может обрабатывать файлы с PCAP, может быть то, что программное обеспечение устарело. Все форматы файлов, которые прекрасно обрабатывались предыдущими версиями данной программы, также должны быть открыты с помощью Wireshark.

Шаг 3. Свяжите файлы Packet Capture Data с Wireshark

Если у вас установлена последняя версия Wireshark и проблема сохраняется, выберите ее в качестве программы по умолчанию, которая будет использоваться для управления PCAP на вашем устройстве. Метод довольно прост и мало меняется в разных операционных системах.

Выбор приложения первого выбора в Windows

• Нажатие правой кнопки мыши на PCAP откроет меню, из которого вы должны выбрать опцию Открыть с помощью
• Далее выберите опцию Выбрать другое приложение а затем с помощью Еще приложения откройте список доступных приложений.
• Наконец, выберите Найти другое приложение на этом. , укажите папку, в которой установлен Wireshark, установите флажок Всегда использовать это приложение для открытия PCAP файлы свой выбор, нажав кнопку ОК

Выбор приложения первого выбора в Mac OS

• Щелкните правой кнопкой мыши на файле PCAP и выберите Информация.
• Найдите опцию Открыть с помощью — щелкните заголовок, если он скрыт
• Выберите Wireshark и нажмите Изменить для всех .
• Если вы выполнили предыдущие шаги, должно появиться сообщение: Это изменение будет применено ко всем файлам с расширением PCAP. Затем нажмите кнопку Вперед» , чтобы завершить процесс.

Шаг 4. Проверьте PCAP на наличие ошибок

Вы внимательно следили за шагами, перечисленными в пунктах 1-3, но проблема все еще присутствует? Вы должны проверить, является ли файл правильным PCAP файлом. Вероятно, файл поврежден и, следовательно, недоступен.

1. Проверьте PCAP файл на наличие вирусов или вредоносных программ.

Если файл заражен, вредоносная программа, находящаяся в файле PCAP, препятствует попыткам открыть его. Рекомендуется как можно скорее сканировать систему на наличие вирусов и вредоносных программ или использовать онлайн-антивирусный сканер. Если сканер обнаружил, что файл PCAP небезопасен, действуйте в соответствии с инструкциями антивирусной программы для нейтрализации угрозы.

2. Убедитесь, что структура файла PCAP не повреждена

Если файл PCAP был отправлен вам кем-то другим, попросите этого человека отправить вам файл. Возможно, файл был ошибочно скопирован, а данные потеряли целостность, что исключает доступ к файлу. При загрузке файла с расширением PCAP из Интернета может произойти ошибка, приводящая к неполному файлу. Попробуйте загрузить файл еще раз.

3. Проверьте, есть ли у пользователя, вошедшего в систему, права администратора.

Существует вероятность того, что данный файл может быть доступен только пользователям с достаточными системными привилегиями. Выйдите из своей текущей учетной записи и войдите в учетную запись с достаточными правами доступа. Затем откройте файл Packet Capture Data.

4. Убедитесь, что ваше устройство соответствует требованиям для возможности открытия Wireshark

Операционные системы могут иметь достаточно свободных ресурсов для запуска приложения, поддерживающего файлы PCAP. Закройте все работающие программы и попробуйте открыть файл PCAP.

5. Проверьте, есть ли у вас последние обновления операционной системы и драйверов

Современная система и драйверы не только делают ваш компьютер более безопасным, но также могут решить проблемы с файлом Packet Capture Data. Возможно, что одно из доступных обновлений системы или драйверов может решить проблемы с файлами PCAP, влияющими на более старые версии данного программного обеспечения.

Вы хотите помочь?

Если у Вас есть дополнительная информация о расширение файла PCAP мы будем признательны, если Вы поделитесь ею с пользователями нашего сайта. Воспользуйтесь формуляром, находящимся здесь и отправьте нам свою информацию о файле PCAP.

PCAP: захват пакетов, что это такое и что вам нужно знать

Захват пакета или PCAP (также известный как libpcap) — это интерфейс прикладного программирования (API), который собирает данные сетевых пакетов в реальном времени из уровней OSI модели 2-7. Сетевые анализаторы, такие как Wireshark, создают файлы .pcap для сбора и записи пакетных данных из сети. PCAP поставляется в различных форматах, включая Libpcap, WinPcap, и PCAPng.

Эти файлы PCAP можно использовать для просмотра сетевых пакетов TCP / IP и UDP. Если вы хотите записывать сетевой трафик, вам нужно создать .pcapfile. Вы можете создать .pcapfile, используя сетевой анализатор или инструмент для анализа пакетов, например Wireshark или tcpdump. В этой статье мы рассмотрим, что такое PCAP и как он работает..

Почему мне нужно использовать PCAP?

PCAP является ценным ресурсом для анализа файлов и мониторинга сетевого трафика. Инструменты сбора пакетов, такие как Wireshark, позволяют собирать сетевой трафик и переводить его в удобочитаемый формат. Существует множество причин, по которым PCAP используется для мониторинга сетей. Некоторые из наиболее распространенных включают мониторинг использования полосы пропускания, выявление мошеннических серверов DHCP, обнаружение вредоносных программ, разрешение DNS и реагирование на инциденты..

Для сетевых администраторов и исследователей безопасности анализ файлов пакетов является хорошим способом обнаружения сетевых вторжений и других подозрительных действий. Например, если источник отправляет в сеть большое количество вредоносного трафика, вы можете определить его с помощью программного агента и затем предпринять действия для устранения атаки..

Как работает Packet Sniffer?

Для захвата файлов PCAP вам нужно использовать анализатор пакетов. Анализатор пакетов захватывает пакеты и представляет их так, чтобы их было легко понять. При использовании анализатора PCAP первое, что вам нужно сделать, это определить, какой интерфейс вы хотите прослушивать. Если вы используете устройство Linux, это может быть eth0 или wlan0. Вы можете выбрать интерфейс с команда ifconfig.

Как только вы узнаете, какой интерфейс вы хотите прослушать, вы можете выбрать, какой тип трафика вы хотите отслеживать. Например, если вы хотите отслеживать только пакеты TCP / IP, вы можете создать правила для этого. Многие инструменты предлагают фильтры, которые позволяют вам контролировать, какой трафик вы собираете.

Например, Wireshark позволяет фильтровать тип трафика, который вы видите, с помощью фильтров захвата и фильтров отображения. Фильтры захвата позволяют фильтровать трафик, который вы захватываете, а фильтры отображения позволяют фильтровать трафик, который вы видите. Например, вы можете фильтровать протоколы, потоки или хосты.

Собрав отфильтрованный трафик, вы можете начать искать проблемы с производительностью. Для более целенаправленного анализа вы также можете фильтровать на основе портов источника и портов назначения для тестирования определенных элементов сети. Вся собранная информация может затем использоваться для устранения проблем производительности сети.

Версии PCAP

Как упоминалось выше, существует множество различных типов файлов PCAP, в том числе:

• Libpcap
• WinPcap
• PCAPng
• Npcap

Каждая версия имеет свои варианты использования, и различные типы инструментов мониторинга сети поддерживают различные формы файлов PCAP. Например, Libpcap — это портативная библиотека c / C ++ с открытым исходным кодом, разработанная для пользователей Linux и Mac OS. Libpcap позволяет администраторам захватывать и фильтровать пакеты. Инструменты перехвата пакетов, такие как tcpdump, используют формат Libpcap.

Для пользователей Windows существует формат WinPcap. WinPcap — это еще одна портативная библиотека для захвата пакетов, предназначенная для устройств Windows. WinpCap также может захватывать и фильтровать пакеты, собранные из сети. Инструменты как Wireshark, Nmap, и фырканье использовать WinPCap для мониторинга устройств, но сам протокол был прекращен.

Pcapng или .pcap Формат файла захвата следующего поколения — это более продвинутая версия PCAP, которая поставляется по умолчанию с Wireshark. Pcapng может захватывать и хранить данные. Тип данных, которые собирает pcapng, включает повышенную точность меток времени, комментарии пользователей и статистику захвата, чтобы предоставить пользователю дополнительную информацию..

Такие инструменты, как Wireshark, используют PCAPng, потому что он может записывать больше информации, чем PCAP. Однако проблема с PCAPng заключается в том, что он не совместим с таким количеством инструментов, как PCAPng..

Npcap — это портативная библиотека для отслеживания пакетов для Windows, созданная Nmap, одним из самых известных поставщиков для отслеживания пакетов. Библиотека работает быстрее и безопаснее, чем WinpCap. Npcap поддерживает Windows 10 и инъекцию захвата пакетов с обратной связью, так что вы можете отправлять и перехватывать петлевые пакеты. Npcap также поддерживается Wireshark.

Преимущества захвата пакетов и PCAP

Самым большим преимуществом захвата пакетов является то, что он обеспечивает видимость. Вы можете использовать пакетные данные, чтобы точно определить причину сетевых проблем. Вы можете отслеживать источники трафика и определять данные об использовании приложений и устройств. Данные PCAP предоставляют вам информацию в реальном времени, необходимую для поиска и устранения проблем с производительностью, чтобы поддерживать работу сети после события безопасности.

Например, вы можете определить, где вредоносная программа проникла в сеть, отслеживая поток вредоносного трафика и другие вредоносные сообщения. Без PCAP и инструмента захвата пакетов было бы сложнее отслеживать пакеты и управлять рисками безопасности.

Как простой формат файла, PCAP обладает тем преимуществом, что он совместим практически с любой программой, которая вам нужна, с диапазоном версий для Windows, Linux и Mac OS. Захват пакетов может быть развернут практически в любой среде.

Недостатки захвата пакетов и PCAP

Хотя захват пакетов является ценным методом мониторинга, он имеет свои ограничения. Анализ пакетов позволяет вам отслеживать сетевой трафик, но не контролирует все. Существует много кибератак, которые не запускаются через сетевой трафик, поэтому вам нужно принять другие меры безопасности.

Например, некоторые злоумышленники используют USB и другие аппаратные атаки. Как следствие, анализ файлов PCAP должен составлять часть вашей стратегии сетевой безопасности, но он не должен быть вашей единственной линией защиты.

Другим существенным препятствием для захвата пакетов является шифрование. Многие злоумышленники используют зашифрованные соединения для запуска атак в сетях. Шифрование не позволяет вашему анализатору пакетов получать доступ к данным трафика и выявлять атаки. Это означает, что зашифрованные атаки будут незаметны, если вы полагаетесь на PCAP.

Существует также проблема с тем, где находится анализатор пакетов. Если перехватчик пакетов размещен на границе сети, это ограничит степень видимости пользователя. Например, пользователь может не определить начало атаки DDoS или вредоносного ПО. Кроме того, даже если вы собираете данные в центре сети, важно убедиться, что вы собираете целые разговоры, а не сводные данные.

Инструмент анализа пакетов с открытым исходным кодом: как Wireshark использует файлы PCAP?

Wireshark — самый популярный анализатор трафика в мире. Wireshark использует файлы .pcap для записи данных пакета, которые были получены при сканировании сети. Пакетные данные записываются в файлы с расширением .pcap и могут использоваться для обнаружения проблем с производительностью и кибератак в сети..

Другими словами, файл PCAP создает запись сетевых данных, которые вы можете просматривать через Wireshark. Затем вы можете оценить состояние сети и определить, есть ли какие-либо проблемы с обслуживанием, на которые вам нужно ответить.

Важно отметить, что Wireshark — не единственный инструмент, который может открывать файлы .pcap. Другие широко используемые альтернативы включают tcpdump и WinDump, инструменты мониторинга сети, которые также используют PCAP для увеличения производительности сети через увеличительное стекло..

Пример проприетарного инструмента анализа пакетов

Монитор производительности сети SolarWinds (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

Монитор производительности сети SolarWinds пример инструмента мониторинга сети, который может собирать данные PCAP. Вы можете установить программное обеспечение на устройстве, а затем отслеживать пакетные данные, извлекаемые из всей сети. Пакетные данные позволят вам измерить время отклика сети и диагностировать атаки..

Пользователь может просматривать пакетные данные через Панель управления качеством опыта, который включает в себя сводку производительности сети. Графические дисплеи упрощают определение всплесков трафика или вредоносного трафика, которые могут указывать на кибератаку.

Компоновка программы также позволяет пользователю дифференцировать приложения по объему трафика, который они обрабатывают. Факторы, такие как Среднее время отклика сети, Среднее время отклика приложения, Общий объем данных, и Общее количество транзакций помочь пользователю быть в курсе изменений, происходящих в сети в реальном времени. Существует также 30-дневная бесплатная пробная версия для загрузки.

Монитор производительности сети SolarWindsСкачать 30-дневную бесплатную пробную версию

Анализ файла PCAP: перехват атак в сетевом трафике

Обнаружение пакетов является обязательным для любой организации, которая имеет сеть. Файлы PCAP — это один из тех ресурсов, которые сетевые администраторы могут использовать для повышения производительности и обнаружения атак с помощью микроскопа. Захват пакетов не только поможет разобраться с первопричиной атак, но и поможет устранить проблемы с вялой производительностью..

Инструменты захвата пакетов с открытым исходным кодом, такие как Wireshark и tcpdump, предоставляют сетевым администраторам инструменты для исправления низкой производительности сети, не тратя целое состояние. Существует также целый ряд фирменных инструментов для компаний, которые хотят более продвинутый опыт анализа пакетов.

С помощью файлов PCAP пользователь может войти в анализатор пакетов, собирать данные о трафике и видеть, где используются сетевые ресурсы. Использование правильных фильтров также значительно облегчит устранение белого шума и оттачивает самые важные данные..

Расширение файла PCAP

Что это за файл — PCAP?

PCAP is a file format used by Wireshark, a network sniffer tool. Wireshark uses Libpcap or WinPcap network package capturing libraries for capturing and analysing network traffic.

PCAP files store captured data for further network traffic analysis. Wireshark is commonly used yb system or network administrators as well as by hackers or special service units. Wireshark is a free software available for various system platforms.

PCAP — это формат файла, используемый Wireshark, инструментом для анализа сети. Wireshark использует библиотеки захвата сетевых пакетов Libpcap или WinPcap для захвата и анализа сетевого трафика.

Файлы PCAP хранят захваченные данные для дальнейшего анализа сетевого трафика. Wireshark обычно используется системными или сетевыми администраторами, а также хакерами или специальными сервисными подразделениями. Wireshark — это бесплатное программное обеспечение, доступное для различных системных платформ.

Программа(ы), умеющие открыть файл .PCAP

Windows

• Wireshark
• WinDump

Linux

• NetworkMiner
• tcpdump

Как открыть PCAP файлы

Если появилась ситуация, в которой Вы не можете открыть файл PCAP на своем компьютере — причин может быть несколько. Первой и одновременно самой важной (встречается чаще всего) является отсутствие соответствующей аппликации обслуживающей PCAP среди установленных на Вашем компьютере.

Самым простым способом решения этой проблемы является нахождение и скачивание соответствующей аппликации. Первая часть задания, уже выполнена, — программы для обслуживания файла PCAP Вы найдете ниже. Теперь достаточно скачать и установить соответствующую аппликацию.

В дальнейшей части этой страницы Вы найдете другие возможные причины, вызывающие проблемы с файлами PCAP.

Возможные проблемы с файлами в формате PCAP

Отсутствие возможности открытия и работы с файлом PCAP, совсем не должен значить, что мы не имеем установленного на своем компьютере соответствующего программного обеспечения. Могут выступать другие проблемы, которые также блокируют нам возможность работы с файлом Packet Capture Data Format. Ниже находится список возможных проблем.

• Повреждение открываемого файла PCAP.
• Ошибочные связи файла PCAP в записях реестра.
• Случайное удаление описания расширения PCAP из реестра Windows
• Некомплектная установка аппликации, обслуживающей формат PCAP
• Открываемый файл PCAP инфицирован нежелательным, вредным программным обеспечением.
• На компьютере слишком мало места, чтобы открыть файл PCAP.
• Драйверы оборудования, используемого компьютером для открытия файла PCAP неактуальные.

Если Вы уверены, что все перечисленные поводы отсутствуют в Вашем случае (или были уже исключены), файл PCAP должен сотрудничать с Вашими программами без каких либо проблем. Если проблема с файлом PCAP все-таки не решена, это может значить, что в этом случае появилась другая, редкая проблема с файлом PCAP. В таком случае остается только помощь специалиста.

Похожие расширения

Как связать файл с установленной программой?

Если Вы хотите связать какой-то файл с новой программой (напр. moj-plik.PCAP) Вы можете воспользоваться двумя вариантами. Первый и самый простой — это нажатие правой кнопкой мышки на избранный файл PCAP. Из открытого меню выберите опцию Выбрать программу по умолчанию», затем опцию «Пересматривать» и найти требуемую программу. Всю операцию необходимо утвердить нажатием кнопки OK.

Есть ли универсальный метод открытия неизвестных файлов?

Многие файлы содержат данные в виде текста или чисел. Возможно, что во время открытия неизвестных файлов (напр. PCAP) популярный в системе Windows простой редактор текста, которым является Notatnik позволит нам увидеть часть данных, закодированных в файле. Этот метод позволяет просмотреть содержимое многих файлов, однако не в такой форме, как программа, предназначенная для их обслуживания.

Network: работа с pcap – сбор и анализ (Wireshark/tshark, tcpdump, packetdump, capinfos), редактирование (hex editor, tcprewrite, bittwiste, editcap, mergecap, wireedit), воспроизведение (tcpreplay, bittwist), анонимизация, комплексные продукты (moloch, observer)

СБОР и АНАЛИЗ

Разное

курс “Wireshark: Packet Analysis and Ethical Hacking: Core Skills” на GNS3. В целом базовый (уровень CCNA), но есть интересные вещи – например, тут увидел полноценную эмуляцию VoIP с sofphone/call manager в среде GNS3

Wireshark по умолчанию кладет весь дамп в оперативку. Дамп 6GB – будет 6GB занято в оперативке.

НО такие объемные дампы лучше не делать, а использовать функционал по созданию каждые N-пакетов/секунд/байт нового файла в Output настройках Wireshark (настраивается перед стартом захвата).

Analyze -> Expert Info. Очень удобно понять были ли duplicated ack/retransmissions и прочие проблемы (см. раздел Notes).

Wireshark показывает Checksum Ethernet только в случае, если его сохранила сетевая карта, а это редко. Пример дампа с наличием CRC/FCS – eth-crc-fcs.pcap. Поэтому, смотря в дамп трафика Wireshark:

• можно думать, что конец фрейма одинаковый у фреймов с одинаковым payload, но разными SRC/DST адресами, но по факту он отличается т.к. checksum фрейма отличается (напр. различие в окончании фрейма ярко видно в пакетном конструкторе Ixia IxExplorer)
• можно некорректно рассчитывать размер фрейма – нужно прибавлять 4 байта к тому, что видим в Wireshark (4 байта чаще всего представляются в виде 8ми hex символов, сгруппированных по два)

WIRESHARK

• Wireshark может расшифровать зашифрованные данные, если дать ему нужную ключевую информацию (например, дав ему пароль от Wi-Fi для WEP/WPA сети, IPsec, SSL/TLS-сессии).

• Найти пароль в протоколах, не использующих шифрование (telnet, snmp, http, SIP/RTP, etc). Причем по follow tcp stream можно посмотреть весь текстовый обмен – красным отправленные данные, синим полученные (дубли для некоторых т.к. сервер подтверждает прием от клиента символов).

• Собрать телефонный VoIP звонок из stream
• Можно посмотреть задержку в stream
• Собрать файл из stream SMB/FTP/HTTP/etc
• Собрать страницу из HTTP пакетов (follow TCP stream)
• Легко посмотреть задержку между пакетами – delta time.

• В Wireshark есть выгрузка object из дампов – можно картинки просмотренного сайта выгрузить, страницы html

• Можно искать запросы к определенным URL (можно и в tcpdump, но проще куда в акулке)
• Продуманный интерфейс: Сразу можно посмотреть и HEX и ASCII репрезентацию данных, отсортировать пакеты, увидеть проблемы по цвету, отфильтровать вывод и прочпроч

Wireshark не только с точки зрения удобства использования лучше tcpdump, он считается и намного более мощным инструментом в сравнении с ним, особенно когда идет вопрос в анализе уровня приложений (поддержка более 2к протоколов, даже таких как USB/Bluetooth/Zigbee). Так же использует libpcap. Кроме того у Wireshark есть консольная утилита tshark (terminal-shark), которая часто позволяет обойтись без tcpdump вовсе (сори, tcpdump), но при больших нагрузках (гигабит и более фреймами 64 байта) нужно учитывать, что tshark хуже по производительности в сравнении с tcpdump. Например, можно использовать фильтры, аналогичные wireshark в консоли.

Фильтры

Фильтры бывают двух видов:

• display filters – применяемые на уже захваченный трафик, чаще всего используются именно они

• capture filters – применяемые при перехвате трафика, используются при больших объемах данных или заведомо зная, что мы ищем в трафике. Синтаксис capture filters отличается от display filters, но соответствуетсинтаксисуtcpdump.

Очень полезная вещь, которая позволяет не знать синтаксис:

• apply as a filter – применяешь нажав ПКМ по информации из полей пакетов или по самому пакету в brief view. Причем
  • можно выбрать как подпадания (Selected), так и все записи, которые отличаются от нашей (Not Selected)
  • можно дополнять фильтр другими полями, используя между выражениями булевую логику (and/or selected, not/or selected)
• conversational filter – позволяет показать только взаимодействие двух участников на каком-либо уровне адресации. Очень удобно. К примеру, находим все пакеты между 15.1.1.2 15.1.1.1 с использованием номеров портов 11451 и 179.

• drag and drop (новые версии) – тянешь любое значения из поля любого пакета и тебе просто показывается синтаксис (можешь дотянуть до фильтра или просто узнать, что нужно вводить в нем)!

Профили (profiles)

Можно создать разные профили под разные задачи – default_with_time_diff, Multicast, VOIP, RIP/OSPF/BGP/etc. В профилях будут уникальные настройки интерфейса – zoom, расположение панелей, шрифты (размер, цвета), можно добавить уникальные столбцы (тот же timediff только в отдельном профиле).

RTT

statistics -> tcp stream graph -> round trip time

VoIP

• sngrep это утилита для анализа SIP/VoIP трафика в консоли Linux сервера.
• Wireshark очень полезен для диагностики VoIP.

Заходим в контекст Telephony, выбираем VoIP Calls. Видим звонки успешные и не очень. Так же видим и активные звонки.

Выбрав звонок и нажав на Flow Sequence можно посмотреть наглядно весь процесс согласования.

А по Play Streams можно даже прослушать звонок (если он успешен и поддерживается кодек, как тут G.711A), через встроенный в акулу RTP player. Круто!

Разговор в VoIP состоит из двух unicast RTP потоков – один от src до dst, второй от dst до src. По analyse можно посмотреть детальные данные (max jitter, RTP packets, lost, etc) по каждому потоку.

Пример дампа с разговором (из курса GNS3 Wireshark: Packet Analysis and Ethical Hacking: Core Skills). Для прослушивания RTP потока нужно сделать decode as по одному из UDP пакетов разговора и выбрать протокол RTP для интерпретирования.

Время

В настройках просмотра можно выбрать формат времени – например, не на основе старта снятия дампа, а реальное время с датой.

Статистика

В разделе statistics можно узнать кучу разных вещей (только часть):

• общая статистика по файлу, эту статистику можно получить используя консольную утилиту capinfos от Wireshark:
  • дата/время первого и последнего пакета
  • размер дампа
  • количество пакетов
  • время съема трафика
  • средний pps, packet size, bits/s

• распределение по протоколам в protocol hierarchy, причем можно посмотреть на эти данные в самом дампе, применив стандартный Apply as a filter в статистике

• по размерам пакетов в packet lengths

• найти top talkers в endpoints (MAC, IP4/6, UDP, TCP)

• проанализировать взаимодействие между хостами по объему трафика в conversations (MAC, IP4/6, UDP, TCP)

• проанализировать взаимодействие между хостами по передаваемым сообщениям (транзакциям), сохраняя их последовательность в flow graph. Очень удобно, что используя стандартный фильтр можно посмотреть конкретное взаимодейтсвие (в статистике прожать “Limit to display filter”) – к примеру ниже отфильтрованное взаимодействие только по DHCP.

tcpdump

• tcpdump по практике является самым производительной утилитой – в сравнительных тестированиях с wireshark, tshar, windump только он смог захватить 64 byte frame на line rate (1.5 МЛН PPS)
• tcpdump – по сути консольная версия Wireshark/Tshark. Дампы tcpdump, кстати, читаются легко Wireshark, что делает его очень полезной утилитой
• tcpdump может не запускаться при записи дампа в файл, если использовать расширение отличное от pcap (потенциально проблема из-за SE Linux)

• tcpdump поддерживает BPF фильтры, захватывая копию необходимого трафика из ядра системы

• tcpdump (да и wireshark) может дропать трафик при большом объеме. Главное узкое место – скорость ЖД. Сделал несколько генераций одного трафика. В первом pcap меньше данных и нет всех пакетов если открыть в Wireshark. При этом все пакеты пришли по назначению во все итерации.

• Полное или частичное отсутствие пакетов в дамп-файле при наличии их в GUI выводе может говорить о потерях пакетов на уровне жесткого диска – у меня при подобных симптомах наблюдался дефицит памяти

• Tcpdump работает на почти любые типы интерфейсов, которые идентифицируются системой (не DPDK): sub интерфейсы, bridge интерфейсы, туннельные интерфейсы и даже loopback

• Tcpdump может при старте не показывать какое-то время наличие пакетов на интерейсе, особенно если не отключен DNS resolve через -n

• При передаче файлов с дампами по сети, всегда нужно учитывать, что Wireshark/tcpdump не ужимают дампы, а после сжатия обычным zip/rar файл может весить в десятки раз меньше (gzip c 800MB до 50MB, 7z c 800MB до 20MB).

tcpdump использует open source libpcap библиотеку. Показывает (STDOUT) по умолчанию данные в terminal. Может писать в файл дамп или читать из файла. По умолчанию показывает brief информацию в удобном для человека формате – IP адреса там например через точку или по умолчанию он даже делает reverse lookup (PTR) или номера портов подменит на сервисы, но конечно все равно не так удобно как Wireshark.

tcpdump требует прав админа для запуска. Минимум ему нужно скормить название ip интерфейса через опцию -i (узнать его можно через ifconfig/ip link). По результату будет показана статистика. По умолчанию будет показана базовая инфа – layer 3 protocol, source, and destination addresses and ports, TCP details, like flags, sequence and ack numbers, window size, and options.

Опции (подробнее в man tcpdump):

Есть поддержка фильтров, как базовых, так и довольно сложных (напр. L4). Возможна комбинация фильтров (см. usage).