I file pcap nascono nel campo del networking per poter salvare il traffico di rete catturato da spcifici programmi. Nei sistemi operativi basati su Unix pcap è stato implementato grazie alla libreria libpcap, in Windows viene implementato grazie a WinPcap.
Tcpdump è storicamente il primo software per le piattaforme Unix-Like in grado di catturare pacchetti trasmessi sulla rete al quale il computer è collegato. Per Windows si può utilizzare WinDump, un port di TCPDump.
L'utilizzo di questo software è fondamentale per catturare il traffico di rete e procedere ad una successiva fase di analisi, in questo articolo non ci occuperemo della cattura piuttosto individueremo i principali software in grado di analizzare i file pcap.
Wireshark
Wireshark è un packet analyzer open source che permette di effettuare anche del packet sniffer offrendo funzioni analoghe a quelle di tcpdump, ma con GUI e funzionalità di filtraggio. Wireshark è multi piattaforma ed è quindi disponibile per i sistemi Linux, Windows, OS X, Solaris, FreeBSD, NetBSD e tanti altri.
La principale funzione di Wireshark è l'analisi live, in tempo reale, dei dati in transito su una rete oppure può analizzare dati precedentemente salvati su un file pcap. I dati possono essere analizzati sia mediante l'interfaccia grafica che da riga di comando attraverso il programma "tshark". Infine offre una comoda funzione di filtraggio delle informazione permettendo all'utente di individuare più facilmente i dati di suo interesse.
Wireshark
(clic per ingrandire)
Download: Wireshark
Netwitness Investigator
Netwitness Investigator è un software di monitoring compatibile con i sistemi operativi Windows in grado di analizzare e visualizzare tutto il traffico di rete o di eseguire l'analisi di un file pcap precedentemente catturato attraverso un'altra utility come TPCDump.
Netwitness si distingue da Wireshark per una maggior facilità di utilizzo, basta effettuare una o più operazione di drill-down del flusso dati per ottenere in un semplice schema riepilogativo i principali dati della rete analizzata con anche la possibilità di localizzare gli host individuati su un mappamondo virtuale.
Infine il team di Netwiteness rende disponibile dei filtri, costantemente aggiornati, in grado di individuare all'interno della rete delle botnet, malware o rootkit.
Netwitness Investigator
(clic per ingrandire)
Download: Netwitness Investigator
NetworkMiner
NetworkMiner è anche esso un software in grado di effettuare analisi di rete, si distingue dai precedenti in quanto è disponibile nella versione portable comodamente utilizzabile senza dover installare il software sul computer.
NetworkMiner è installabile su Windows e viene rilasciato in versione gratuita o a pagamento (€500), quest'ultima implementa la possibilità di esportare i dati in formato CSV, di localizzare ogni singolo IP individuato nell'analisi, di colorare ogni singolo host per migliorare la leggibilità del report e infine di eseguire script personalizzati da riga di comando.
NetworkMiner
(clic per ingrandire)
Download: NetworkMiner
Xplico
Xplico è un Network Forensic Analysis Tool per sistemi Linux rilasciato sotto licenza Open Source ed è in grado di elaborare pacchetti pcap catturati attraverso TCPDump oppure tramite la modalità Live contenuta nel software stesso.
Supporta notevoli protocolli tra i quali HTTP, IMAP, SMTP, POP, FTP, TCP, UPD ed è in grado di identificare i protocolli indipendentemente dalla porta di utilizzo grazie alle tecniche di Port Independent Protocol Identification (PIPI).
Xplico
(clic per ingrandire)
Download: Xplico
