揭秘 PCAP 病毒包：网络安全的潜在威胁(图文)

PCAP 是一种数据流格式，Wireshark 软件可以将网络数据流变成这种格式。PCAP 病毒包可能包含恶意加密流量，对网络安全造成威胁。
PCAP 文件在网络安全领域有着重要的作用，同时也可能成为恶意软件传播的载体。Wireshark（原名 Ethereal）是目前世界上最受欢迎的协议分析软件，利用它可将捕获到的各种各样协议的网络二进制数据流翻译为人们容易读懂和理解的文字和图表等形式。它有十分丰富和强大的统计分析功能，可在 Windows，Linux 和 UNIX 等系统上运行。
PCAP 文件主要包括 “Pcap 报头” 和 “数据区” 两个部分，其中数据区又分成多个数据包，每个包有报头和数据两个部分。“Pcap 报头” 大小为 24 个字节，其中 Magic 标记文件开始并用来识别文件和字节顺序；Major 和 Minor 分别表示当前文件的主要和次要版本号；ThisZone 是当地标准时间；SigFigs 是时间戳的精度；SnapLen 是最大的存储长度；LinkType 是链路类型。数据报头可以有多个，每个数据报头 16 字节，后面都跟着真正的数据包，包括时间戳、数据区长度等信息。数据包部分则是抓取到的网络包数据。
常用的抓包工具有很多，比如 Fiddler、Wireshark、HttpWatch、SmartSniff、firebug 等。Wireshark 是世界上最流行的网络分析工具，它可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样，Wireshark 也使用 pcap network library 来进行封包捕捉，可破解局域网内 QQ、邮箱、msn、账号等的密码。不过，Wireshark 配置起来比一些工具麻烦一些，如果不配代理，需要安装个 Connectify 来建立热点，然后再安装 wireshark 进行抓包，如果配置了代理，直接安装 wireshark 即可。
当分析 PCAP 恶意软件文件时，一般情况下，如果文件只是格式良好的恶意软件传输记录，在 Wireshark 中打开通常不会影响电脑，也不会导致恶意软件的执行。但如果从 pcap 中提取数据，可能会无意中将恶意软件加载到计算机上并执行。同时，Wireshark 是一个复杂的软件，可能在各种协议特定的分解器中发现 bug，这也可能导致远程代码执行。
当通过 putty 分析云服务器上的 PCAP 恶意软件文件时，由于是远程执行操作，除非在使用的软件（Putty）中存在以前未知的漏洞，或者通过隧道公开本地系统的服务，否则不太可能影响本地系统。恶意软件也需要专门为这样一个特定的攻击矢量设计，这也是相当不可能的。

二、PCAP 包结构

（一）Pcap 报头

大小为 24 个字节，包括 Magic、Major、Minor、ThisZone、SigFigs、SnapLen、LinkType 等字段，用于标记文件开始、识别文件和字节顺序、确定版本号、时间戳精度、最大存储长度和链路类型等。
Pcap 报头中的 Magic 字段标记文件开始，并用来识别文件和字节顺序。其值可以为 0xa1b2c3d4 或者 0xd4c3b2a1，如果是 0xa1b2c3d4 表示是大端模式，按照原来的顺序一个字节一个字节的读，如果是 0xd4c3b2a1 表示小端模式，下面的字节都要交换顺序。现在的电脑大部分是小端模式。Major 字段表示当前文件的主要版本号，一般为 0x0200。Minor 字段表示当前文件的次要版本号，一般为 0x0400。ThisZone 字段代表当地的标准时间，如果用的是 GMT 则全零，一般全零。SigFigs 字段表示时间戳的精度，一般为全零。SnapLen 字段表示最大的存储长度，设置所抓获的数据包的最大长度，如果所有数据包都要抓获，将值设置为 65535。LinkType 字段表示链路类型，解析数据包首先要判断它的 LinkType，所以这个值很重要。一般的值为 1，即以太网。

（二）数据报头

可以有多个，每个数据报头 16 字节，后面跟着真正的数据包。包括 Timestamp（时间戳高位和低位）、Caplen（当前数据区长度）、Len（离线数据长度）等字段。
数据报头中 Timestamp 字段分为时间戳高位和低位，高位精确到 seconds，这是 Unix 时间戳，捕获数据包的时间一般是根据这个值；低位能够精确到 microseconds。Caplen 字段表示当前数据区的长度，即抓取到的数据帧长度，由此可以得到下一个数据帧的位置。Len 字段表示离线数据长度，网路中实际数据帧的长度，一般不大于 Caplen，多数情况下和 Caplen 值一样。

（三）数据

抓取到的网络包，对于激光雷达一般为以太帧，以太帧结构包括目标地址、源地址、类型字段和数据部分。数据部分可能是 ipv4 报文，其中存储着雷达发送的数据或其他网络数据。
这里以以太帧为例，解析 pcap 包获取到一个数据块时，这个数据块就是以太帧，一般结构如下：目标地址（destination address, DA）为 6 字节，源地址（source address, SA）为 6 字节，类型（type）字段用于辨别上层协议，2 字节（0x08 0x00 为 IPv4），数据（data）部分为 64 到 1500 字节。以太帧结构中的 type 决定数据部分存储什么样的报文，当为 ipv4 时，数据部分为 ipv4 报文，所以解析以太帧中的数据部分就是解析 ipv4 报文。ipv4 报文头结构中，选项部分有多长需要去查资料或者自己解析看看，一般雷达发送的数据存在 ipv4 报的数据部分，也就是除去报头后剩余的字节，会有一个开始标志，这个开始标志在说明书中一定有说明，这样就可以确定选项部分有多长，然后正确获取雷达发送的数据，然后就可以根据说明书进行一步步解析。

三、PCAP 病毒包的危害

（一）可能感染电脑

当分析 PCAP 恶意软件文件时，虽然文件本身的恶意软件内容一般不会被执行，但存在一定风险。一方面，如果从 pcap 中提取数据，可能会无意中将恶意软件加载到计算机上并执行。另一方面，Wireshark 作为一个复杂的软件，可能在各种协议特定的分解器中发现 bug，这也可能导致远程代码执行。例如，有研究指出，在使用来自不可信源的 pcap 或其中含有格式错误的协议数据时，可能会导致代码执行。不过，如果是格式良好的 pcap，且只捕获恶意软件二进制文件的传输，则不会受到此影响，并且不会导致在 pcap 中捕获的恶意软件的执行。

（二）TTL 过期攻击

攻击者发送大量设置 TTL 为较小值的 IP 数据包，消耗目标主机资源，导致目标主机性能下降甚至崩溃。TTL（Time to Live）是 IP 包中的一个字段，表示数据包在网络中能够存活的最长时间。当一个数据包经过一个路由器时，该路由器会将数据包的 TTL 字段减 1，当 TTL 减为 0 时，路由器会丢弃该数据包。应对策略包括网络管理员通过设置防火墙等安全设备，限制传入的 TTL 值，并进行流量监控和流量分析，及时发现异常流量并采取相应的措施。

（三）ARP 中毒

攻击者伪造 ARP 响应包，将目标主机 IP 地址与攻击者 MAC 地址绑定，重定向通信流量。ARP 协议是将 IP 地址解析成 MAC 地址的一种协议。攻击者通常会向目标主机发送虚假的 ARP 响应包，将目标主机的 IP 地址与攻击者的 MAC 地址绑定，从而导致目标主机的通信流量被重定向到攻击者主机。应对策略包括网络管理员使用安全工具对局域网中的 ARP 响应进行检测和监控，定期清除异常的 ARP 缓存，限制 ARP 协议的使用，以及使用静态 ARP 表进行 MAC 地址与 IP 地址的绑定。

（四）TCP 重传与重叠碎片

可能导致网络延迟增加、传输速率降低甚至数据丢失。TCP 重传是指在数据包传输过程中，某个数据包丢失或未及时到达目标主机，发送方会重新发送该数据包。TCP 重叠碎片是指 MTU（Maximum Transmission Unit）大小限制导致的数据包分片，在发送方和接收方之间重新组装的过程中，发生了重叠。应对策略包括网络管理员通过调整 TCP 的超时重传时间、优化网络拓扑结构和路径，或通过升级硬件设备来减少重传和重叠碎片的发生。

四、防范 PCAP 病毒包的方法

（一）配置防火墙

在 Linux 和 Windows 操作系统平台上配置防火墙是防范 PCAP 病毒包的重要方法之一。
对于 Windows 系统，可以参考卡饭网的介绍，点击桌面右下角打开开始菜单，在搜索栏输入搜索 “控制面板”，打开后将查看方式设置为 “小图标”，找到并点击打开 windows 防火墙。可以通过设置开启或关闭防火墙，以及允许特定程序通过防火墙来增强网络安全性。
在 Linux 系统中，如实践报告中提到的，可以使用 iptables 进行配置。例如，可以过滤 ICMP 数据包，使主机不接收 Ping 包；还可以只允许特定 IP 地址访问主机的某一网络服务，而其他 IP 地址无法访问。
通过在不同操作系统平台上配置防火墙，可以有效过滤恶意数据包，保护系统安全。

（二）使用安全工具

网络管理员可以使用安全工具对局域网中的 ARP 响应进行检测和监控，以防范 PCAP 病毒包中的 ARP 中毒攻击。
正如 “pcap2socks 项目安装与配置指南 - CSDN 博客” 中提到的，一些工具具备代理 ARP 功能，可以回复 ARP 请求，使其看起来像是拥有指定地址的设备。这在一定程度上可以帮助检测和防范 ARP 中毒。
同时，要定期清除异常的 ARP 缓存，限制 ARP 协议的使用，以及使用静态 ARP 表进行 MAC 地址与 IP 地址的绑定，防止攻击者伪造 ARP 响应包，重定向通信流量。

（三）调整网络设置

1. 通过调整 TCP 的超时重传时间、优化网络拓扑结构和路径，或升级硬件设备来减少 TCP 重传和重叠碎片的发生。

• • 可以参考 “深入剖析 pcap 中的网络异常：TTL 过期攻击、ARP 中毒、TCP 重传与重叠碎片等” 中的内容，TCP 重传和重叠碎片可能会导致网络延迟增加、传输速率降低，甚至数据丢失。通过合理调整 TCP 的超时重传时间等措施，可以降低这种风险。

2. 设置防火墙等安全设备，限制传入的 TTL 值，并进行流量监控和流量分析，及时发现异常流量并采取相应的措施。

• • 当面临 TTL 过期攻击时，网络管理员可以按照 “深入剖析 pcap 中的网络异常：TTL 过期攻击、ARP 中毒、TCP 重传与重叠碎片等” 中的应对策略，通过设置防火墙等安全设备，限制传入的 TTL 值，防止攻击者发送大量设置 TTL 为较小值的 IP 数据包，消耗目标主机资源。同时，进行流量监控和分析，以便及时发现异常流量并采取措施。

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。