pcap
pcap (packet capture) ist eine freie Programmierschnittstelle (API), um Netzwerkverkehr mitzuschneiden. Unixartige Betriebssysteme implementieren pcap in Form der Bibliothek libpcap; Windows-PCs benutzen die Adaption WinPcap für diese Funktionalität.
Programme zur Netzwerkanalyse, die eine Sniffer-Funktion enthalten, greifen auf diese Schnittstellen zurück, um Pakete direkt am Netzwerkinterface abzugreifen. Die Bibliothek unterstützt außerdem eine Auflistung aller verfügbaren Netzwerkschnittstellen und die Möglichkeit, „mitgehörte“ Pakete in eine Datei zu speichern. Die so gesammelten Daten können dann mithilfe entsprechender Tools ausgewertet werden. Eine so gespeicherte Datei kann sowohl von libpcap als auch von WinPcap-Programmen interpretiert werden.
Die API ist so aufgebaut, dass sie direkt von C und C++ eingebunden werden kann. Andere Programmiersprachen wie Java, .NET oder Skriptsprachen benutzen normalerweise einen Wrapper.[1]
Liste von Programmen mit libpcap/WinPcap
Es gibt eine Reihe von kommerziellen und Open-Source-Produkten, welche auf eine pcap-Funktionalität zurückgreifen:
- tcpdump, ein Tool, um Netzwerkverkehr auf einem Linuxrechner mitzuschneiden (Windump für Windows).
- ngrep, bekannt als network grep, ein Programm, um bestimmte Zeichenketten in Paketen zu finden und diese lesbar anzuzeigen.
- Wireshark (früher Ethereal), ein graphisches Netzwerkanalysetool.
- Snort, eine freie Umsetzung von IDS und IPS.
- ssldump, ein kostenfreies SSLv3/TLS Analysetool.
- Tranalyzer, ein kostenfreies PCAP-Analyse- und Troubleshooting-Werkzeug
- Nmap, ein sehr verbreiteter Portscanner und Fingerprinterkenner.
- Captcp, umfangreiches Tool zur Analyse von TCP.
- FRITZ!Powerline Einrichtungsprogramm von der Firma AVM
Weblinks
Einzelnachweise
- libpcap packet capture tutorial (englisch) – Implementations-Tutorial für C und C++ von Martin Casado, an der Stanford University