Pcap

Материал из InformationSecurity WIKI
Перейти к: навигация, поиск

Сетевой дамп чаще всего предоставляется как .pcap или .pcapng файл.

Открыть его можно с помощью следующих программ:

  • Wireshark
  • CocoaPacketAnalyser
  • Scapy(библиотека python)

Рассмотрим классификацию тасков на анализирование сетевого дампа.

Для начала разделим все задания по количеству пакетов.

Несколько пакетов (не более 20)

Данные таски сводятся к примитивны вещам, рассмотрим самые популярные.

Один пакет

Обычно требуется повторить отсылку пакета


HTTP

PING(ICMP)

Socket

Множество пакетов

Для примера


Bittorrent

HTTP

SMB

HTTPS

SSH