原始流量包(PCAP):记录了网卡收到的每一个字节,从最底层开始,未经任何过滤或解析
元数据(Metadata) :TDP 并不存储整个包,而是从包中提取的关键信息,例如:
- 源/目的 IP 和端口
- 协议类型(HTTP/DNS)
- URL、User-Agent、状态码
- 威胁标签、资产归属等
🔍 PCAP 和 TDP 的包有什么不同?
| 对比项 | PCAP(原始包) | TDP 的包(元数据) |
|---|---|---|
| 内容 | 完整网络帧:包括 MAC 地址、IP 头、TCP/UDP 头、HTTP 内容等 | 只提取关键字段(如 URL、UA、状态码),其他丢弃 |
| 格式 | 二进制原始数据(可用 Wireshark 打开) | 结构化日志(JSON/表格形式) |
| 大小 | 非常大(1 小时可能几十 GB) | 很小(只存摘要,节省存储) |
| 能否看到广播? | ✅ 能(包含 255.255.255.255 和 FF:FF:FF:FF:FF:FF) | ❌ 通常不能(被过滤或不记录) |
| 能否还原文件? | ✅ 能(如下载的 exe、PDF) | ❌ 不能(只存文件名或哈希) |
所以:
- 元数据 适合快速告警(如爬虫、C2)
- PCAP 适合深度调查(如 APT、非法 DHCP、0day 分析)
要检测广播、DHCP 等底层行为,必须依赖 PCAP 或支持 L2-L3 解析的探针,元数据做不到。
