Packet Capture (p-cap) 抓包文件

把截获的 数据包存下来的文件,常见扩展名 .pcap / .pcapng。是网络取证的”录像带”。

怎么产生

用 tcpdump 或 Wireshark 做 抓包,把流经网卡的包逐个存进文件:

tcpdump -i eth0 -w capture.pcap

用在哪

• 取证 —— 还原攻击者到底发了什么、传了什么
• 排障 —— “为什么连不上”的现场记录
• 事后分析 —— 服务器上抓好 pcap,拖到本地用 Wireshark 慢慢看
• 当 证据 —— 需要 保管链和 hash 校验

注意

• pcap 可能很大(高流量几分钟就几 GB),按需过滤
• 可能含敏感数据(明文密码、个人信息)——按证据级别保管
• 加密流量(HTTPS)的内容是密的,pcap 里也只能看元数据

是 网络数据最原始、最完整的留存形式。