pcap (packet capture) ist eine freie Programmierschnittstelle (API), um Netzwerkverkehr mitzuschneiden. Unixartige Betriebssysteme implementieren pcap in Form der Bibliothek libpcap; Windows-PCs benutzen die Adaption WinPcap für diese Funktionalität.
Programme zur Netzwerkanalyse, die eine Sniffer-Funktion enthalten, greifen auf diese Schnittstellen zurück, um Pakete direkt am Netzwerkinterface abzugreifen. Die Bibliothek unterstützt außerdem eine Auflistung aller verfügbaren Netzwerkschnittstellen und die Möglichkeit, „mitgehörte“ Pakete in eine Datei zu speichern. Die so gesammelten Daten können dann mithilfe entsprechender Tools ausgewertet werden. Eine so gespeicherte Datei kann sowohl von libpcap als auch von WinPcap-Programmen interpretiert werden.
Die API ist so aufgebaut, dass sie direkt von C und C++ eingebunden werden kann. Andere Programmiersprachen wie Java, .NET oder Skriptsprachen benutzen normalerweise einen Wrapper.
Nachfolger von pcap ist PCAP Next Generation (pcapng) und behebt einige Einschränkungen von pcap.
Liste von Programmen mit libpcap/WinPcap
Es gibt eine Reihe von kommerziellen und Open-Source-Produkten, welche auf eine pcap-Funktionalität zurückgreifen:
- tcpdump, ein Tool, um Netzwerkverkehr auf einem Linux-Rechner mitzuschneiden (Windump für Windows).
- ngrep, bekannt als network grep, ein Programm, um bestimmte Zeichenketten in Paketen zu finden und diese lesbar anzuzeigen.
- Wireshark (früher Ethereal), ein graphisches Netzwerkanalysetool.
- Snort, eine freie Umsetzung von IDS und IPS.
- ssldump, ein kostenfreies SSLv3/TLS Analysetool.
- Tranalyzer, ein kostenfreies PCAP-Analyse- und Troubleshooting-Werkzeug.
- Nmap, ein sehr verbreiteter Portscanner und Fingerprint-Erkenner.
- Captcp, umfangreiches Tool zur Analyse von TCP.
- Fritz!Box, eine Router-Serie der Firma AVM, bei der das Mitschneiden von Netzwerkverkehr an den Schnittstellen möglich ist.
Weblinks
- Offizielle Projektseite für Windows (WinPcap) (englisch)
- Offizielle Projektseite für Linux (LibPcap und tcpdump) (englisch)
- Web-Seite eines pcapng-Entwicklers (englisch)
Einzelnachweise
- ↑ libpcap packet capture tutorial (englisch) – Implementations-Tutorial für C und C++ von Martin Casado, an der Stanford University
- ↑ Internet-Draft: draft-tuexen-opsawg-pcapng-02 (englisch) - IETF-Draft zu PCAP Next Generation