Capuchón de PC

Interfaz de programación de aplicaciones para capturar el tráfico de red

En el campo de la administración de redes informáticas , pcap es una interfaz de programación de aplicaciones (API) para capturar el tráfico de la red . Si bien el nombre es una abreviatura de packet capture (captura de paquetes) , ese no es el nombre propio de la API. Los sistemas tipo Unix implementan pcap en la biblioteca libpcap ; para Windows , hay un puerto de libpcap llamado WinPcap que ya no recibe soporte ni se desarrolla, y un puerto llamado Npcap para Windows 7 y posteriores que aún recibe soporte.

El software de monitoreo puede usar libpcap, WinPcap o Npcap para capturar paquetes de red que viajan a través de una red de computadoras y, en versiones más nuevas, para transmitir paquetes en una red en la capa de enlace y para obtener una lista de interfaces de red para su posible uso con libpcap, WinPcap o Npcap.

La API pcap está escrita en C , por lo que otros lenguajes como Java , lenguajes .NET y lenguajes de script generalmente usan un contenedor ; libpcap o WinPcap no proporcionan contenedores de este tipo. Los programas C++ pueden vincularse directamente a la API C o hacer uso de un contenedor orientado a objetos .

Características

libpcap, WinPcap y Npcap proporcionan los motores de filtrado y captura de paquetes de muchas herramientas de red comerciales y de código abierto , incluidos analizadores de protocolo ( sniffers de paquetes ), monitores de red , sistemas de detección de intrusiones de red , generadores de tráfico y probadores de red.

La mayoría de los sistemas actuales de tipo Unix proporcionan un mecanismo mediante el cual un programa puede capturar el tráfico de red hacia y desde la máquina que ejecuta el programa y, en algunos casos, otro tráfico al que está conectada esa máquina. Sin embargo, estos mecanismos son significativamente diferentes entre sí; la biblioteca libpcap proporciona una API común para acceder a estos mecanismos, lo que permite escribir programas para capturar el tráfico de red sin tener que preocuparse por los detalles de todos esos mecanismos.

libpcap, WinPcap y Npcap también permiten guardar paquetes capturados en un archivo y leer archivos que contienen paquetes guardados; se pueden escribir aplicaciones , utilizando libpcap, WinPcap o Npcap, para poder capturar tráfico de red y analizarlo, o para leer una captura guardada y analizarla, utilizando el mismo código de análisis. Un archivo de captura guardado en el formato que utilizan libpcap, WinPcap y Npcap puede ser leído por aplicaciones que entienden ese formato, como tcpdump , Wireshark , CA NetMaster o Microsoft Network Monitor 3.x. El formato de archivo se describe en Internet-Draft draft-ietf-opsawg-pcap; ^[5] la versión actual de los editores del borrador también está disponible. ^[6]

El tipo MIME para el formato de archivo creado y leído por libpcap, WinPcap y Npcap es application/vnd.tcpdump.pcap. La extensión de archivo típica es .pcap, aunque .cap y .dmp también se usan comúnmente. ^[7]

Historia

libpcap fue desarrollado originalmente por los desarrolladores de tcpdump en el Network Research Group del Laboratorio Lawrence Berkeley . El código de captura de paquetes de bajo nivel, lectura de archivos de captura y escritura de archivos de captura de tcpdump se extrajo y se convirtió en una biblioteca, con la que se vinculó tcpdump. ^[8] Ahora lo desarrolla el mismo grupo tcpdump.org que desarrolla tcpdump. ^[9]

Bibliotecas pcap para Windows

Si bien libpcap se desarrolló originalmente para sistemas operativos tipo Unix, se realizó una adaptación exitosa para Windows, llamada WinPcap. No se le ha dado mantenimiento desde 2013, ^[10] y se han lanzado varias versiones competidoras con nuevas características y compatibilidad con versiones más nuevas de Windows.

WinPcap

WinPcap consta de: ^[11]

• Controladores x86 y x86-64 para la familia Windows NT ( Windows NT 4.0 , 2000 , XP , Server 2003 , Vista , 7 , 8 y 10 ), que utilizan la Especificación de interfaz de controlador de red (NDIS) 5.x para leer paquetes directamente desde un adaptador de red ;
• implementaciones de una biblioteca de nivel inferior para los sistemas operativos enumerados, para comunicarse con esos controladores;
• un puerto de libpcap que utiliza la API ofrecida por las implementaciones de biblioteca de bajo nivel.

Los programadores del Politécnico de Turín escribieron el código original. En 2008, CACE Technologies, una empresa creada por algunos de los desarrolladores de WinPcap, desarrolló y mantuvo el producto. CACE fue adquirida por Riverbed Technology el 21 de octubre de 2010. ^[12]

Debido a que WinPcap utiliza las API NDIS 5.x más antiguas, no funciona en algunas compilaciones de Windows 10, que han dejado obsoletas o eliminado esas API en favor de las API NDIS 6.x más nuevas. También impone algunas limitaciones, como la imposibilidad de capturar etiquetas VLAN 802.1Q en encabezados Ethernet .

El proyecto WinPcap ha dejado de desarrollarse y WinPcap y WinDump ya no reciben mantenimiento. La última versión oficial de WinPcap fue la 4.1.3, publicada el 8 de marzo de 2013. ^[13]

Capuchón NPC

Npcap es la biblioteca de rastreo de paquetes del Proyecto Nmap para Windows. ^[14] Está basada en WinPcap, pero escrita para aprovechar las mejoras de red de Windows en la versión 6 de NDIS. Sus autores reescribieron el controlador de protocolo WinPcap NDIS 5 como un controlador de filtro ligero (LWF), un cambio que reduce la sobrecarga de procesamiento. ^[15] Las versiones de mantenimiento de Npcap actualizaron la versión de la biblioteca libpcap incluida a la última disponible, lo que permite a los autores de software utilizar las características de API más nuevas que el software de Linux ya había admitido. ^[16] La mayoría del software que usaba WinPcap se puede portar fácilmente para usar Npcap con cambios mínimos. ^[17]

Npcap introdujo varias innovaciones que no estaban disponibles en WinPcap:

• Npcap se puede restringir para que sólo los administradores puedan rastrear paquetes. ^[18]
• Npcap puede rastrear e inyectar paquetes de bucle invertido (transmisiones entre servicios en la misma máquina) mediante el uso de la Plataforma de filtrado de Windows . ^[19]
• Npcap puede capturar tramas WiFi 802.11 en una variedad de adaptadores de red comúnmente disponibles. ^[20]

A diferencia de Nmap , Npcap es un software propietario y requiere una licencia especial para su uso y redistribución, excepto para algunos usos internos limitados. ^[21]

Win10Pcap

La implementación de Win10Pcap también se basa en el modelo de controlador NDIS 6 y funciona de manera estable con Windows 10. [ ^22] Sin embargo, el proyecto ha estado inactivo desde 2016. ^[23]

Programas que usan o usaron libpcap

• Bit-Twist , un generador y editor de paquetes Ethernet basado en libpcap para BSD , Linux y Windows.
• Caín y Abel , una herramienta de recuperación de contraseñas descontinuada para Microsoft Windows
• EtherApe , una herramienta gráfica para monitorear el tráfico de red y el uso del ancho de banda en tiempo real.
• Firesheep , una extensión discontinuada para el navegador web Firefox que capturaba paquetes y realizaba secuestros de sesiones
• iftop , una herramienta para mostrar el uso del ancho de banda (como top para el tráfico de red)
• Kismet , para redes LAN inalámbricas 802.11
• L0phtCrack , una aplicación de auditoría y recuperación de contraseñas .
• McAfee ePolicy Orchestrator, función de detección de sistemas no autorizados
• ngrep , también conocido como "network grep ", aísla cadenas en paquetes y muestra datos de paquetes en una salida amigable para humanos.
• Nmap , una utilidad de red para escaneo de puertos y toma de huellas digitales
• Pirni , una herramienta de seguridad de red discontinuada para dispositivos iOS con jailbreak .
• Scapy , una herramienta de manipulación de paquetes para redes de computadoras, escrita en Python por Philippe Biondi.
• Snort , un sistema de detección de intrusiones en la red.
• Suricata , una plataforma de análisis y prevención de intrusiones en la red.
• Prevención de pérdida de datos de Symantec : se utiliza para supervisar e identificar datos confidenciales, rastrear su uso y ubicación. Las políticas de pérdida de datos permiten bloquear la salida de datos confidenciales de la red o copiarlos a otro dispositivo.
• tcpdump , una herramienta para capturar y volcar paquetes para su posterior análisis, y WinDump, el puerto de Windows de tcpdump.
• Zeek , un sistema de detección de intrusiones y plataforma de monitoreo de red .
• URL Snooper, localiza las URL de archivos de audio y vídeo para permitir su grabación.
• WhatPulse , una aplicación de medición estadística (entrada, red, tiempo de actividad).
• Wireshark (anteriormente Ethereal), una herramienta gráfica de captura de paquetes y análisis de protocolos.
• XLink Kai , software que permite jugar en línea a varios juegos de consola LAN
• Xplico , una herramienta de análisis forense de redes (NFAT).

Bibliotecas contenedoras para libpcap

• C++ : Libtins, Libcrafter, PcapPlusPlus
• Perl : Net::Pcap
• Python : python-libpcap, Pcapy, WinPcapy
• Ruby : Paquete Fu
• Óxido : pcap
• Tcl : tclpcap, tcap, pktsrc
• Java : jpcap, jNetPcap, Jpcap, Pcap4j, Jxnet
• .NET : WinPcapNET, SharpPcap, Pcap.Net
• Haskell : pcap
• OCaml : mlpcap
• Esquema de pollos : pcap
• Lisp común : PLOKAMI
• Raqueta : SPeaCAP
• Go : pcap de Andreas Krennmair, pcap derivado del anterior de Miek Gieben, pcap desarrollado como parte del paquete gopacket
• Erlang : epcap
• Node.js : node_pcap

Bibliotecas que no son pcap y que leen archivos pcap

• Python : archivo pycap
• Python : PyPCAPKit

Otras aplicaciones o dispositivos que leen o escriben archivos pcap o pcapng

• Apache Drill , un motor SQL de código abierto para el análisis interactivo de conjuntos de datos a gran escala. ^{[24] [25]}
• EndaceProbe de Endace , un sistema de captura de paquetes a gran escala que registra continuamente semanas o meses de tráfico de red. ^[26]

Referencias

1. "Última versión de tcpdump y libpcap". tcpdump.org . Consultado el 8 de febrero de 2023 .
2. "licencia de tcpdump y libpcap". tcpdump.org . Consultado el 2020-05-02 .
3. "Registro de cambios de WinPcap".
4. "npcap/CHANGELOG.md". GitHub .
5. Formato de archivo de captura PCAP. 23 de julio de 2023. ID draft-ietf-opsawg-pcap.
6. "Formato de archivo de captura PCAP". 1 de marzo de 2024.
7. Turner, Glen (30 de marzo de 2011). "Registro IANA de la aplicación para el tipo MIME application/vnd.tcpdump.pcap". IANA . Consultado el 25 de febrero de 2023 .
8. McCanne, Steve. "libpcap: una arquitectura y metodología de optimización para la captura de paquetes" (PDF) . Consultado el 27 de diciembre de 2013 .
9. "Repositorio público TCPDUMP/LIBPCAP" . Consultado el 27 de diciembre de 2013 .
10. "Noticias de WinPcap" . Consultado el 6 de noviembre de 2017 .
11. "Componentes internos de WinPcap" . Consultado el 27 de diciembre de 2013 .
12. "Riverbed se expande aún más en el mercado de gestión del rendimiento de redes con reconocimiento de aplicaciones con la adquisición de CACE Technologies" (Comunicado de prensa). Riverbed Technology . 2010-10-21. Archivado desde el original el 2013-03-08 . Consultado el 2010-10-21 .
13. "WinPcap · Noticias". WinPcap . 8 de marzo de 2013.
14. "Captura de pantalla Np".
15. "Controladores de filtros". 15 de diciembre de 2021.
16. "Lanzamiento de Npcap 1.20". GitHub .
17. "Actualización del software WinPcap a Npcap". Desarrollo de software con Npcap . Consultado el 25 de febrero de 2023 .
18. "Opciones del instalador gráfico". Guía del usuario de Npcap . Consultado el 25 de febrero de 2023 .
19. "Para software que utiliza la función de bucle invertido de Npcap". Guía del usuario de Npcap . Consultado el 25 de febrero de 2023 .
20. "Para software que utiliza la función 802.11 sin procesar de Npcap". Guía del usuario de Npcap . Consultado el 25 de febrero de 2023 .
21. "Licencia Npcap". GitHub .
22. "Win10Pcap: WinPcap para Windows 10".
23. Win10Pcap: WinPcap para Windows 10 (modelo de controlador NDIS 6.x): SoftEtherVPN/Win10Pcap, Proyecto SoftEther VPN, 2019-12-31 , consultado el 2020-01-09
24. Bevens, Bridget (31 de julio de 2017). "Se lanzó la versión 1.11 del ejercicio".
25. Paquete.java en GitHub
26. "¿Qué puede leer o guardar un archivo PCAP?". ¿Qué es un archivo PCAP? . Fin .

Enlaces externos

• Portal de software libre y de código abierto

• Sitio web oficial de libpcap y tcpdump
• Sitio web oficial de Npcap
• Sitio web oficial , WinPcap, WinDump
• Lista de archivos PCAP disponibles públicamente