Pcap
Материал из InformationSecurity WIKI
Сетевой дамп чаще всего предоставляется как .pcap или .pcapng файл.
Открыть его можно с помощью следующих программ:
- Wireshark
- CocoaPacketAnalyser
- Scapy(библиотека python)
Рассмотрим классификацию тасков на анализирование сетевого дампа.
Для начала разделим все задания по количеству пакетов.
Содержание
Несколько пакетов (не более 20)
Данные таски сводятся к примитивны вещам, рассмотрим самые популярные.
Один пакет
Обычно требуется повторить отсылку пакета
HTTP
PING(ICMP)
Socket
Множество пакетов
Для примера
Bittorrent
HTTP
SMB
HTTPS
SSH
USB Mouse
Чаще всего предоставляется дамп в виде pcapng файла и требуется составить картинку из координат мышки.
Пример таска можете посмотреть с google ctf: https://amritabi0s.wordpress.com/2016/06/15/google-ctf-for2/
Код программы постить тут нецелесообразно тк он меняется в зависимости от таска.