uDocumentViewer
categories.misc.pcap · .pcapng · .cap

PCAP / PCAPNG visualizador

pronto
Sobre PCAP / PCAPNG

Capturas de pacotes do Wireshark.

PCAP é o formato universal que o `tcpdump` e o Wireshark escrevem — um cabeçalho global de 24 bytes seguido de cabeçalhos por pacote de 16 bytes. PCAPNG acrescenta blocos com timestamps por interface. Analisamos ambos os formatos diretamente a partir dos bytes e descodificamos os cabeçalhos Ethernet, VLAN 802.1Q, Linux SLL, raw-IP, IPv4, IPv6, ICMP, TCP e UDP em linha para que a tabela mostre protocolo, portas e flags TCP. Clique num pacote para ver os bytes brutos como dump hexadecimal. O visualizador tem um teto de 5.000 pacotes para manter capturas grandes responsivas.

Perguntas frequentes
Isto substitui o Wireshark?
Não. Para dissecação profunda — protocolos de camada de aplicação, desencriptação TLS, expressões de filtro, follow-stream — use o Wireshark. Isto é um inspetor rápido no navegador para verificações de sanidade: o que está nas capturas, quantos pacotes têm, quem fala com quem.
Porque é que a minha captura enorme só mostra os primeiros 5.000 pacotes?
Limitamos a análise a 5.000 pacotes para manter a UI responsiva. O cabeçalho ainda lhe diz que a captura foi truncada. Fatie o ficheiro com `tcpdump -r in.pcap -w out.pcap -c 5000` ou `editcap` para fazer um subset.
Que tipos de link-layer são descodificados?
Ethernet (1), Linux SLL (113), Raw IP (101), IPv4 (228) e IPv6 (229). Outros tipos de link aparecem no cabeçalho, mas os pacotes só mostram comprimento e bytes — sem coluna de protocolo.
A minha captura é enviada para um servidor?
Não. PCAPs contêm muitas vezes tráfego sensível; este visualizador analisa tudo no navegador. Nada sai da sua máquina.
Mais categories.misc