Co to jest plik PCAP? Zastosowania, otwieranie, edytowanie

Plik PCAP to w praktyce to zapis rozmowy urządzeń sieciowych, ale zapisany bajt po bajcie, bez wygładzania faktów. Ten artykuł jest dla osób, które chcą otworzyć, przeanalizować albo bezpiecznie przygotować zrzut ruchu sieciowego. Pomoże Ci zrozumieć format, narzędzia i ryzyka bez zgadywania.

Najważniejsze informacje z tego artykułu:

PCAP przechowuje surowe ramki lub pakiety sieciowe wraz z czasem przechwycenia.
Wireshark, tcpdump, tshark i NetworkMiner potrafią odczytać pliki PCAP.
Format zawiera nagłówek globalny oraz kolejne rekordy pakietów.
PCAPNG obsługuje więcej metadanych niż klasyczny PCAP.
Pliki PCAP z obcych źródeł analizuj w odizolowanym środowisku.

Na skróty: Pokaż

Co to jest plik PCAP?

Plik PCAP jest binarnym plikiem zrzutu ruchu sieciowego, znanym także jako libpcap savefile. Zapisuje on przechwycone ramki albo pakiety z konkretnego interfejsu sieciowego, na przykład karty Ethernet, interfejsu Wi-Fi, tunelu VPN albo wirtualnej karty w systemie operacyjnym.

PCAP nie przechowuje ładnego raportu o sieci, lecz surowe bajty wraz z metadanymi potrzebnymi do ich odczytu. Analizator, taki jak Wireshark, tcpdump albo tshark, dopiero interpretuje te bajty jako Ethernet, IP, TCP, UDP, DNS, HTTP, TLS i inne protokoły. Dlatego ten sam plik może służyć do diagnostyki opóźnień, badania incydentu bezpieczeństwa, nauki protokołów albo testów aplikacji.

Format powstał w Lawrence Berkeley National Laboratory jako format powiązany z tcpdump i biblioteką libpcap. W praktyce stał się standardem obsługiwanym przez narzędzia administracyjne, forensic, IDS oraz systemy analizy ruchu, w tym Wireshark, tshark, Zeek i NetworkMiner. W mojej pracy przy audytach urządzeń konsumenckich i smart home pliki PCAP były podstawowym materiałem dowodowym, gdy trzeba było sprawdzić, czy urządzenie wysyła dane tam, gdzie deklaruje producent.

Do czego służy plik PCAP:

Diagnostyka sieci – pozwala sprawdzić retransmisje TCP, opóźnienia DNS, błędy TLS i nietypowe odpowiedzi serwerów.
Analiza bezpieczeństwa – pomaga wykryć skanowanie portów, komunikację z serwerem C2, wyciek danych albo podejrzane zapytania DNS.
Testy aplikacji – umożliwia porównanie ruchu generowanego przez aplikację przed zmianą i po zmianie konfiguracji.
Computer forensics – wspiera rekonstrukcję zdarzeń na podstawie rzeczywistych pakietów.
Nauka protokołów – pokazuje, jak protokoły działają na poziomie ramek, nagłówków i pól.

Wskazówka: Jeśli dopiero zaczynasz analizę, otwórz mały plik PCAP w Wiresharku i wybierz pakiet DNS albo HTTP, ponieważ te protokoły łatwo powiązać z działaniem użytkownika.

Jakie informacje przechowuje plik PCAP?

Plik PCAP przechowuje nagłówek globalny oraz sekwencję rekordów pakietów. Nagłówek globalny ma 24 bajty i opisuje sposób odczytu całego pliku, natomiast każdy rekord pakietu ma 16-bajtowy nagłówek oraz dane ramki. Format działa sekwencyjnie, więc narzędzie czyta plik od początku do końca.

Element formatu	Co zawiera	Jak wpływa na analizę
Magic number	Identyfikator formatu, kolejność bajtów i precyzję czasu.	Narzędzie rozpoznaje, czy ma odczytywać czas w mikrosekundach czy nanosekundach.
Version major i version minor	Zwykle wartości 2 i 4.	Oznaczają wersję układu formatu, a nie wersję programu.
thiszone	Historyczną korektę strefy czasowej względem UTC.	Współczesne narzędzia zwykle ją ignorują.
sigfigs	Historyczne pole dokładności znaczników czasu.	W praktyce zwykle ma wartość 0.
snaplen	Limit bajtów zapisywanych z jednej ramki.	Gdy limit jest zbyt niski, końcówka pakietu znika z pliku.
network lub LINKTYPE	Typ warstwy łącza, na przykład Ethernet, 802.11, Linux SLL albo RAW IP.	Analizator wie, jak interpretować początek danych pakietu.

Rekord pakietu zawiera czas przechwycenia, długość zapisaną i długość oryginalną. Pole ts_sec podaje sekundy od epoki Uniksa, a ts_usec albo ts_nsec przechowuje część ułamkową sekundy. Jednostka zależy od magic number, dlatego własny parser musi ją rozpoznać, a nie zgadywać.

Sprawdź też: Jak otworzyć plik DWG? Sprawdź.

Pola, które zwykle decydują o jakości analizy:

incl_len – podaje liczbę bajtów rzeczywiście zapisanych w pliku.
orig_len – podaje oryginalny rozmiar ramki na medium sieciowym.
Różnica między orig_len i incl_len – oznacza ucięcie pakietu, zwykle z powodu wartości snaplen.
LINKTYPE – mówi, czy dane zaczynają się od nagłówka Ethernet, ramki Wi-Fi, nagłówka Linux cooked capture czy innego formatu.

Gdy orig_len ma większą wartość niż incl_len, plik nie zawiera pełnej ramki. Wtedy nie wyciągaj twardych wniosków z brakującego payloadu, opcji TCP albo końcówki komunikatu aplikacyjnego, ponieważ analizator widzi tylko zachowany fragment.

Jak otworzyć i odczytać plik PCAP na komputerze?

Plik PCAP otworzysz w programie Wireshark, tcpdump, tshark, NetworkMiner, Zeek albo w bibliotekach programistycznych opartych o libpcap i npcap. Wybór narzędzia zależy od tego, czy chcesz oglądać pakiety graficznie, przetwarzać je w konsoli, czy wydobywać artefakty z ruchu sieciowego.

Narzędzie	System	Kiedy je wybrać
Wireshark	Windows, Linux, macOS	Gdy chcesz analizować pakiety w interfejsie graficznym i korzystać z filtrów wyświetlania.
tcpdump	Linux, macOS, Windows przez dodatkowe środowiska	Gdy chcesz szybko podejrzeć plik w terminalu albo przechwycić ruch na serwerze.
tshark	Windows, Linux, macOS	Gdy chcesz automatyzować analizę i eksportować pola do CSV lub JSON.
NetworkMiner	Windows, Linux przez Mono	Gdy chcesz odzyskać hosty, pliki, sesje i artefakty z ruchu.
Zeek	Linux, macOS, częściowo Windows przez środowiska zgodności	Gdy chcesz generować logi bezpieczeństwa z dużych zrzutów.

Kroki do bezpiecznego otwarcia pliku PCAP:

Sprawdź źródło pliku – traktuj obcy zrzut jak materiał potencjalnie wrogi, ponieważ może zawierać dane wykorzystujące błąd analizatora.
Utwórz kopię roboczą – pracuj na kopii, a oryginał zostaw bez zmian do porównań.
Uruchom aktualne narzędzie – zainstaluj bieżącą wersję Wiresharka, tsharka albo NetworkMinera, ponieważ analizatory protokołów miewały luki bezpieczeństwa.
Otwórz plik bez automatycznego uruchamiania dodatków – wyłącz niepotrzebne skrypty i integracje, jeśli środowisko je obsługuje.
Zacznij od statystyk – sprawdź liczbę pakietów, zakres czasu, protokoły i rozmówców, zanim przejdziesz do pojedynczych ramek.

Wskazówka: Do plików z nieznanego źródła użyj maszyny wirtualnej bez dostępu do Twoich prywatnych katalogów, ponieważ sam plik PCAP nie jest programem, ale parser protokołów może mieć podatność.

Jak samodzielnie przechwycić ruch sieciowy do formatu PCAP?

Ruch sieciowy zapiszesz do formatu PCAP za pomocą Wiresharka, tcpdump, tsharka, dumpcapa albo narzędzi wykorzystujących libpcap na Linuxie i macOS oraz Npcap na Windowsie. Do przechwytywania zwykle potrzebujesz uprawnień administratora lub dostępu do grupy pozwalającej czytać interfejsy sieciowe.

Przykłady poleceń do zapisu ruchu w PCAP:

tcpdump na interfejsie eth0 – sudo tcpdump -i eth0 -w ruch.pcap.
tcpdump z limitem rozmiaru pakietu – sudo tcpdump -i eth0 -s 0 -w pelny_zrzut.pcap.
tshark z filtrem przechwytywania DNS – tshark -i eth0 -f "udp port 53" -w dns.pcap.
dumpcap z rotacją plików – dumpcap -i eth0 -b filesize:100000 -b files:10 -w rotacja.pcap.

Filtr przechwytywania działa przed zapisem do pliku, więc ogranicza ilość danych już na starcie. Filtr wyświetlania w Wiresharku działa dopiero po otwarciu pliku, dlatego nie zmniejsza rozmiaru zrzutu. Ta różnica ma duże znaczenie na łączach o wysokiej przepustowości.

Ustawienia, które warto dobrać przed przechwytem:

Interfejs – wybierz kartę, na której faktycznie płynie badany ruch.
Snaplen – ustaw -s 0, gdy potrzebujesz pełnych pakietów, albo mniejszą wartość, gdy interesują Cię tylko nagłówki.
Filtr BPF – ogranicz ruch na przykład do hosta, portu albo protokołu.
Rotacja plików – dziel zrzut automatycznie, gdy sesja potrwa długo.
Synchronizacja czasu – ustaw NTP na systemach, jeśli korelujesz PCAP z logami serwerów.

W jakich sytuacjach administratorzy używają plików PCAP?

Administratorzy używają plików PCAP wtedy, gdy zwykły log aplikacji nie pokazuje całej sekwencji zdarzeń w sieci. Zrzut pakietów ujawnia, co host wysłał, co odebrał, kiedy to nastąpiło i czy odpowiedź wróciła poprawnie.

Sprawdź też: Jak otworzyć plik OST? Dowiedz się!

Problem	Co sprawdzić w PCAP	Typowy trop
Strona ładuje się wolno	DNS, TCP handshake, TLS handshake, retransmisje.	Opóźnienia w DNS albo retransmisje po stronie klienta.
VPN zrywa połączenie	Pakiety keepalive, fragmentację, MTU, reset sesji.	Zbyt duże pakiety albo blokada UDP.
Aplikacja nie łączy się z API	SYN, SYN-ACK, RST, alerty TLS, kody HTTP.	Firewall, błąd certyfikatu albo reset serwera.
Sieć Wi-Fi działa niestabilnie	Ramki 802.11, retransmisje, roaming, siłę sygnału w metadanych narzędzia.	Zakłócenia, roaming albo błędne uwierzytelnianie.
Incydent bezpieczeństwa	Zapytania DNS, połączenia wychodzące, nietypowe porty, payload.	Komunikacja z podejrzaną domeną albo eksfiltracja danych.

Podczas audytów IoT często porównywałem zrzut z fazy pierwszej konfiguracji urządzenia i zrzut po zalogowaniu użytkownika. Taki zabieg szybko pokazuje, czy urządzenie wysyła identyfikatory, telemetrię lub dane diagnostyczne poza deklarowany region. PCAP daje przewagę tam, gdzie aplikacja pokazuje tylko objaw, a sieć pokazuje przyczynę.

Czym różni się PCAP od PCAPNG?

PCAPNG jest nowszym formatem zrzutów pakietów, który rozwiązuje ograniczenia klasycznego PCAP. Klasyczny plik ma jeden globalny typ łącza i skromne metadane, natomiast PCAPNG używa struktury blokowej i może opisać wiele interfejsów, komentarze, informacje o systemie oraz dodatkowe opcje.

Cecha	PCAP	PCAPNG
Struktura	Nagłówek globalny i rekordy pakietów.	Bloki, między innymi Section Header Block, Interface Description Block i Enhanced Packet Block.
Wiele interfejsów	Brak wygodnej obsługi w jednym pliku.	Obsługuje wiele interfejsów w jednej sekcji.
Metadane	Minimalne.	Obsługuje opcje, komentarze i opis interfejsów.
Zgodność binarna	Nie jest zgodny binarnie z PCAPNG.	Ma inny magic number i inną strukturę.
Przetwarzanie strumieniowe	Bardzo proste.	Bardziej elastyczne, ale z większą liczbą struktur.

Klasyczny PCAP nadal sprawdza się w prostych zrzutach, automatyzacji i pracy na serwerach. PCAPNG wybierz wtedy, gdy potrzebujesz opisać kilka interfejsów, dodać komentarze albo zachować metadane środowiska. Wireshark obsługuje oba formaty, więc zwykle problemem nie jest odczyt, lecz świadomy wybór formatu do wymiany danych.

Czy analiza pliku PCAP z nieznanego źródła jest bezpieczna?

Analiza pliku PCAP z nieznanego źródła niesie ryzyko, choć sam format nie uruchamia kodu jak typowy program. Ryzyko pojawia się w analizatorze, ponieważ Wireshark, tshark, NetworkMiner lub inny parser musi rozpoznać wiele protokołów i ich wariantów. Błąd w takim dekoderze może doprowadzić do awarii programu albo w skrajnym przypadku do wykonania kodu.

Zasady bezpiecznej analizy obcego PCAP:

Użyj izolacji – otwieraj plik w maszynie wirtualnej, kontenerze lub osobnym środowisku badawczym.
Aktualizuj analizator – stosuj bieżące wersje narzędzi, ponieważ poprawki parserów protokołów pojawiają się regularnie.
Ogranicz dostęp do sieci – odłącz środowisko od internetu, jeśli plik pochodzi z niepewnego źródła.
Nie importuj artefaktów bez kontroli – traktuj wyodrębnione pliki, certyfikaty i skrypty jako potencjalnie złośliwe.
Sprawdź sumę kontrolną – zapisz hash pliku przed analizą, aby wykryć zmianę materiału.

Publiczne zbiory do ćwiczeń bywają bardzo przydatne, ale dobieraj je świadomie. Strona producenta NetworkMiner prowadzi do repozytoriów plików PCAP z zapisami ruchu sieciowego, wiki Wiresharka udostępnia zrzuty z wieloma protokołami, a materiały Computer Forensics obejmują prawie 1 TB danych, w tym obrazy dysków, nośników USB, zrzuty pamięci i ruch sieciowy. Z kolei zbiór CIC-IDS2017 zawiera pliki PCAP oraz metadane wygenerowane narzędziem CICFlowMeter, więc nadaje się do ćwiczeń z detekcji ataków i uczenia maszynowego.

Wskazówka: Jeśli pobierasz plik PCAP do nauki, wybieraj repozytoria opisujące scenariusz przechwycenia, ponieważ sam zrzut bez kontekstu łatwo prowadzi do błędnych wniosków.

Jak edytować, dzielić i łączyć pliki PCAP?

Pliki PCAP edytujesz narzędziami z pakietu Wireshark oraz programami konsolowymi do obróbki zrzutów. Do typowych zadań użyj editcap, mergecap, capinfos, tcpdump albo tshark. Nie edytuj binarnego PCAP zwykłym edytorem tekstu, ponieważ łatwo uszkodzisz strukturę rekordów.

Praktyczne operacje na plikach PCAP:

Sprawdzenie właściwości – uruchom capinfos plik.pcap, aby zobaczyć liczbę pakietów, czas i typ formatu.
Podział po liczbie pakietów – użyj editcap -c 100000 duzy.pcap czesc.pcap.
Podział po czasie – użyj opcji -A i -B w editcap, gdy chcesz wyciąć konkretny zakres.
Łączenie plików – uruchom mergecap -w razem.pcap pierwszy.pcap drugi.pcap.
Konwersja PCAPNG do PCAP – użyj editcap -F pcap wejscie.pcapng wyjscie.pcap, jeśli narzędzie docelowe nie obsługuje PCAPNG.

Sprawdź też: Jak otworzyć plik SVG? Dowiedz się!

Przy łączeniu zachowaj ostrożność, gdy pliki pochodzą z różnych interfejsów albo mają różny LINKTYPE. Klasyczny PCAP ma jeden globalny typ łącza, więc nie każdy zestaw da się połączyć bez utraty sensu danych. PCAPNG lepiej radzi sobie z takim przypadkiem, bo potrafi opisać kilka interfejsów.

Jak wyeksportować dane z pliku PCAP do CSV?

Dane z pliku PCAP wyeksportujesz do CSV za pomocą tsharka, Wiresharka albo skryptu korzystającego z bibliotek analitycznych. CSV sprawdza się wtedy, gdy chcesz policzyć rozmówców, czasy odpowiedzi, typy zapytań DNS albo przepływy w arkuszu kalkulacyjnym i narzędziach typu pandas.

Przykładowy eksport pól do CSV:

Eksport podstawowych pól IP i TCP – tshark -r ruch.pcap -T fields -E separator=, -E header=y -e frame.time_epoch -e ip.src -e ip.dst -e tcp.srcport -e tcp.dstport -e frame.len > ruch.csv.
Eksport zapytań DNS – tshark -r dns.pcap -Y "dns.flags.response == 0" -T fields -E separator=, -E header=y -e frame.time_epoch -e ip.src -e dns.qry.name > dns.csv.
Eksport sesji HTTP – tshark -r web.pcap -Y http -T fields -E separator=, -E header=y -e ip.src -e ip.dst -e http.host -e http.request.uri > http.csv.

Dobierz pola przed eksportem. Pełny zrzut wszystkich danych do CSV zwykle tworzy nieczytelny plik, a część pól występuje tylko w wybranych protokołach. Jeżeli analizujesz przepływy sieciowe do badań bezpieczeństwa, możesz zestawić PCAP z metadanymi, podobnie jak robi to CICFlowMeter w zbiorze CIC-IDS2017.

Jak Windows, Linux i macOS obsługują pliki PCAP?

Windows, Linux i macOS potrafią pracować z PCAP, ale różnią się warstwą przechwytywania i uprawnieniami. Sam plik pozostaje przenośny, ponieważ format na dysku opisuje kolejność bajtów, typ łącza i precyzję czasu. Różnice pojawiają się głównie przy nagrywaniu ruchu.

System	Co zwykle instalujesz	Na co uważać
Windows	Wireshark z Npcap.	Npcap odpowiada za przechwytywanie, a tryb monitorowania Wi-Fi zależy od sterownika karty.
Linux	tcpdump, Wireshark, libpcap.	Potrzebujesz uprawnień roota albo konfiguracji grupy do przechwytywania.
macOS	Wireshark, tcpdump, libpcap w systemie.	System może wymagać dodatkowych zgód bezpieczeństwa dla dostępu do interfejsów.

Jeżeli tylko otwierasz istniejący plik, różnice są małe. Jeżeli nagrywasz ruch, sprawdź interfejs, uprawnienia i typ łącza. Na przykład zrzut z Wi-Fi w trybie monitorowania może zawierać ramki 802.11, a zrzut z normalnej karty Ethernet zwykle zapisze ramki Ethernet bez pełnego kontekstu radiowego.

Jak filtrować bardzo duże pliki PCAP bez przeciążania sprzętu?

Duże pliki PCAP filtruj etapami, ponieważ pełne otwarcie wielogigabajtowego zrzutu w interfejsie graficznym może zużyć dużo pamięci i czasu procesora. Zacznij od narzędzi konsolowych, wytnij zakres danych, a dopiero potem analizuj mniejszy fragment w Wiresharku.

Kroki pracy z dużym plikiem PCAP:

Sprawdź metadane pliku – uruchom capinfos duzy.pcap i sprawdź liczbę pakietów, zakres czasu oraz typ łącza.
Ogranicz zakres czasowy – użyj editcap -A "2025-01-10 10:00:00" -B "2025-01-10 10:15:00" duzy.pcap wycinek.pcap.
Zastosuj filtr protokołu – użyj tcpdump -r duzy.pcap -w dns.pcap "udp port 53".
Wytnij rozmówców – użyj filtra, na przykład host 192.0.2.10, jeśli znasz adres badanego urządzenia.
Eksportuj tylko pola – użyj tsharka, gdy potrzebujesz tabeli, a nie pełnej inspekcji ramek.
Otwórz dopiero wycinek – uruchom Wiresharka na mniejszym pliku, aby uniknąć długiego indeksowania.

Filtry BPF w tcpdump są dobre do zmniejszania materiału, a filtry wyświetlania Wiresharka są wygodne do analizy protokołów po wczytaniu danych. Nie mieszaj ich bezrefleksyjnie, ponieważ mają inną składnię i działają w innym momencie pracy z plikiem.

Wskazówka: Przy zrzutach liczonych w dziesiątkach gigabajtów pracuj na kopii podzielonej po czasie, ponieważ szybciej znajdziesz problem i nie będziesz obciążać stacji roboczej pełnym plikiem.

Jakie błędy popełnia się przy interpretacji PCAP?

Błędy w analizie PCAP zwykle wynikają z założeń, których sam plik nie potwierdza. Format zapisuje bajty i ograniczone metadane, więc analityk musi sprawdzić typ łącza, ucięcie pakietów, precyzję czasu i kontekst przechwycenia.

Typowe błędy przy analizie plików PCAP:

Zakładanie, że każdy plik zawiera Ethernet – sprawdź LINKTYPE, bo plik może zawierać Linux SLL, 802.11 albo RAW IP.
Ignorowanie snaplen – porównaj incl_len i orig_len, zanim ocenisz brak payloadu.
Mylenie czasu przechwycenia z czasem na medium – pamiętaj, że timestamp pochodzi z systemu przechwytującego i może mieć jitter.
Otwieranie ogromnego pliku w GUI bez przygotowania – użyj najpierw capinfos, tcpdump, editcap albo tshark.
Pomijanie strefy i synchronizacji czasu – koreluj PCAP z logami dopiero po sprawdzeniu zegarów systemów.

Jeżeli piszesz własny parser, obsłuż cztery typowe wartości magic number: 0xa1b2c3d4, 0xd4c3b2a1, 0xa1b23c4d i 0x4d3c2b1a. Te wartości określają kolejność bajtów oraz mikrosekundową albo nanosekundową precyzję czasu. Parser, który zakłada zawsze mikrosekundy i zawsze Ethernet, będzie dawał błędne wyniki na realnych zbiorach.

Podsumowanie

Co to jest plik PCAP? To binarny zapis przechwyconych ramek lub pakietów wraz z czasem, długością danych i opisem typu łącza. Format pochodzi z ekosystemu tcpdump i libpcap, a dziś obsługują go Wireshark, tshark, NetworkMiner, Zeek oraz wiele narzędzi administracyjnych. PCAP pomaga diagnozować sieć, analizować incydenty i uczyć się protokołów, ale wymaga ostrożności przy obcych plikach i dużych zrzutach. Warto znać snaplen, LINKTYPE, incl_len i orig_len, bo te pola decydują o poprawnej interpretacji materiału.

FAQ

Q: Czy plik PCAP może zawierać hasła?

A: Tak, jeśli protokół przesyła dane jawnie, plik PCAP może zawierać loginy, hasła, tokeny sesji albo treść formularzy. Szyfrowanie TLS zwykle ukrywa treść aplikacyjną.

Q: Czy można zmniejszyć rozmiar pliku PCAP po nagraniu?

A: Tak. Użyj editcap albo tcpdump, aby wyciąć zakres czasu, hosta, port lub protokół. Możesz też skompresować plik programem gzip albo zstd.

Q: Czy rozszerzenie .pcap zawsze oznacza poprawny format?

A: Nie. Rozszerzenie może być mylące. Narzędzie sprawdza magic number i strukturę pliku, więc błędnie nazwany plik może okazać się PCAPNG, tekstem albo uszkodzonym zrzutem.

Q: Czy plik PCAP zapisuje dane po odszyfrowaniu TLS?

A: Zwykle nie. PCAP zapisuje ruch widoczny na interfejsie. Treść TLS pozostaje zaszyfrowana, chyba że analizator dostanie sekrety sesji, na przykład z pliku SSLKEYLOGFILE.

Q: Czy można anonimizować adresy IP w pliku PCAP?

A: Tak. Narzędzia takie jak editcap potrafią modyfikować wybrane pola, a specjalistyczne programy anonimizują adresy i dane w payloadzie. Zawsze sprawdź wynik na kopii.