PCAP-över-IP
PCAP-over-IP är en metod för att överföra infångad nätverkstrafik genom en TCP- anslutning. Den fångade nätverkstrafiken överförs över TCP som en PCAP- fil för att bevara relevant metadata om paketen, såsom tidsstämplar.
Bakgrund och etymologi
Den första kända användningen av termen PCAP-over-IP är av Packet Forensics 2011. Konceptet bakom PCAP-over-IP nämndes dock redan 2008 som en del av en funktionsbegäran för Wireshark . Behovet av denna funktion motiverades enligt följande:
"Denna funktion är användbar när infångningen genereras på en maskin som inte har mycket lagringsutrymme (t.ex. inbäddat system). Till exempel kan ipmb_traced-applikationen tillgänglig på Pigeon Points hyllhanterare överföra infångningen över TCP-anslutningen utan att skriva den till filsystemet. "
Användningsfall
Vanliga användningsfall för PCAP-over-IP inkluderar:
- Överför infångad nätverkstrafik i realtid till en fjärrmaskin
- Överföra nätverkstrafik mellan två applikationer på samma värd
- Tillhandahåller dekrypterad trafik från en TLS-avlyssningsproxy till en paketanalysator eller IDS .
Programvara med PCAP-over-IP-stöd
Lösningar
Programvara som kan sniffa nätverkstrafik, men som inte stöder PCAP-over-IP, kan läsa paket från en PCAP-over-IP-leverantör med hjälp av en netcat och tcpreplay combo.
nc [SERVER] 57012 | tcpreplay -i eth0 -t -