Formato de Archivo para Volcado pcapng

  • Posted on: 28 May 2020
  • By: ReYDeS

La siguiente generación (Next Generation) “pcap”, es el nuevo formato para volcar las trazas de los paquetes, y de esta manera facilitar la extensibilidad, portabilidad, y tener la capacidad de fusionar y añadir datos. Un archivo de captura es organizado en bloques, los cuales son añadidos uno hacia otro para formar un archivo. Todos los bloques comparten un formato en común. Un tipo bloque es un valor único el cual identifica el bloque. La longitud total del bloque proporciona el tamaño total del bloque en bytes. Esta campo se duplica al final de archivo para permitir la navegación hacia atrás del archivo. El contenido del bloque está encerrado en un bloque cuerpo. Dos tipos de bloques se encuentran comúnmente en un archivo “.pcapng”.

Los dos bloques obligatorios los cuales deben aparecer al menos una vez son:

  • Bloque de la cabecera de sección (SHB), lo cual define las características más importantes del archivo de captura. Es similar a la cabecera global del archivo “libpcap”.
  • Bloque descripción de interfaz (IDB), lo cual define las características más importantes de las interfaces utilizadas para capturar el tráfico. Contiene información sobre el tipo de la capa de enlace de la interfaz, demás del número máximo de bytes volcados desde cada paquete (snaplen).

Los bloques opcionales los cuales deben aparecer en el archivo son:

  • Bloque de paquete mejorado (EPB), lo cual contiene un solo paquete capturado o una parte de este. Contiene información sobre el ID de la interfaz, marcas de tiempo, longitud de la captura, y la longitud actual del paquete.
  • Bloque de paquete simple (SPB), lo cual contiene un solo paquete capturado, o una partición de este, con únicamente un conjunto mínimo de información sobre el mismoe. No captura la ID de la interfaz, y marcas de tiempo.
  • Bloque de resolución de nombre (NRB), lo cual define el mapeo desde una dirección numérica presente en el volcado del paquete, y la contraparte del nombre canónico. Esto evita problemas de peticiones DNS, cada vez se abre la captura.
  • Bloque de estadísticas de la interfaz (ISB), lo cual define como almacenar algunas estadísticas.

Fuentes:

https://wiki.wireshark.org/Development/PcapNg
https://cloudshark.io/articles/5-reasons-to-move-to-pcapng/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1