Analiza mrežnog saobraćaja - PCAP
1️⃣ Šta je PCAP?
PCAP (Packet Capture) je format fajla koji sadrži snimljeni mrežni saobraćaj — svaki paket koji je prošao kroz mrežni interfejs, sa tačnim vremenom, izvornom i odredišnom adresom i kompletnim sadržajem.
PCAP fajlovi su osnovno sredstvo u mrežnoj forenzici i analizi bezbednosnih incidenata.
Realna primena
- ✔ istraga napada — rekonstrukcija šta je napadač radio na mreži
- ✔ otkrivanje malvera koji komunicira sa C2 serverom
- ✔ pronalaženje lozinki i korisničkih imena koji se prenose u plain textu (FTP, HTTP, Telnet)
- ✔ analiza sumnjivih DNS upita — DNS exfiltration
- ✔ CTF zadaci — flagovi skriveni u mrežnom saobraćaju
2️⃣ Wireshark
Wireshark je najpopularniji alat za analizu mrežnog saobraćaja. Ima grafički interfejs koji prikazuje svaki paket, omogućava filtriranje i rekonstrukciju sesija.
Instalacija
Linux
sudo apt install wireshark
Windows / macOS
Preuzmi sa wireshark.org
Otvaranje PCAP fajla
wireshark capture.pcap
Ili iz grafičkog interfejsa: File → Open
3️⃣ Wireshark interfejs
Wireshark prikazuje tri panela:
| Panel | Sadržaj |
|---|---|
| Packet List | Lista svih paketa sa vremenom, IP adresama i informacijama |
| Packet Details | Detalji izabranog paketa po slojevima |
| Packet Bytes | Sirovi bajtovi paketa u hex i ASCII prikazu |
4️⃣ Filtriranje saobraćaja
Filteri su ključ efikasne analize — PCAP fajlovi mogu imati milione paketa.
Filtriranje po protokolu
dns
http
ftp
tcp
udp
icmp
Filtriranje po IP adresi
ip.addr == 192.168.1.105
ip.src == 10.0.0.1
ip.dst == 8.8.8.8
Filtriranje po portu
tcp.port == 80
udp.port == 53
Kombinovani filteri
ip.addr == 192.168.1.105 && http
5️⃣ Korisne funkcije
Follow TCP Stream
Rekonstruiše celu TCP komunikaciju između dva hosta — vidimo kompletan razgovor umesto pojedinačnih paketa.
Desni klik na paket → Follow → TCP Stream
Export Objects
Izvlači fajlove koji su preneti kroz HTTP, FTP ili SMB saobraćaj.
File → Export Objects → HTTP
Statistics
Pregled saobraćaja po protokolima, IP adresama i razgovorima.
Statistics → Protocol Hierarchy Statistics → Conversations
6️⃣ tshark — Wireshark iz terminala
tshark je komandna verzija Wiresharka za terminal — korisna za brzu analizu
bez grafičkog interfejsa ili za automatizaciju skriptama.
tshark -r capture.pcap -Y "dns"
📝 Provera znanja
Pogledaj sledeću sliku snimka Wireshark sesije.
🖼️ Slika:
Koji protokol se koristi u prikazanom saobraćaju?
Hint
Pomoć
Pogledaj kolonu **Protocol** u Packet List panelu.📝 Provera Znanja
Unesite svoj odgovor ispod da biste proverili da li ste razumeli lekciju: