Co je Capet Capture?
Zachycení paketů je jednoduše proces nabití paketů dat, která cestují přes počítačovou síť. Při normálním zachycování paketů se shromažďují pouze pomocná data obsažená v záhlaví paketu, jako jsou informace o adrese nebo formát internetového protokolu (IP) paketu. V případě hlubokého zachycení paketů (DPC) je získán celý paket, jak informace o záhlaví, tak i skutečné datové užitečné zatížení. Tento proces se také často označuje jako čichání paketů.
Bez ohledu na způsob zachycení paketů může proces probíhat na kterékoli z vrstev modelu otevřeného propojení systémů (OSI) nad vrstvou jedna, fyzickou vrstvou, protože fyzická vrstva pracuje pouze s bity ve formě elektrických signálů. K zachycení paketů nedojde, dokud tyto toky jedniček a nul nejsou převedeny zpět na datové pakety, které lze poté shromáždit. V jakémkoli daném síťovém rozhraní může kolekce probíhat pouze pro pakety určené pro adresu patřící tomuto rozhraní, ledaže je rozhraní nakonfigurováno pro tzv. Promiskuitní režim. Síťové rozhraní působící promiskuitně je schopné zachytit nejen své vlastní pakety, ale i ty určené pro ostatní.
Pokud si správce sítě přeje získat pakety přicházející přes síťové rozhraní, má možnost kompletní kolekce nebo filtrované kolekce. Kompletní kolekce nemá žádné hranice, takže všechny pakety přecházející rozhraní jsou popadnuty. Při filtrování paketů se však vyhodnocují při průchodu rozhraním a shromažďují se pouze určité pakety, které splňují určitá kritéria. To umožňuje správci ukládat pouze ty typy paketů, o které má zájem, nebo pakety směřující na určité adresy. Filtrované kolekce také šetří hardwarové prostředky a lze je použít k zaokrouhlení paketů, které mohou být později potřebné k prokázání viny.
Za zachycením paketů je mnoho účelů, které se točí kolem pojmu hloubkové kontroly paketů (DPI). Jak jsou pakety získávány, jsou kontrolovány a analyzovány z mnoha důvodů, z nichž většina zahrnuje detekci narušení, bezpečnost a integritu dat nebo výkon sítě, ačkoli existují nějaké nebezpečné účely zachycování paketů. V důsledku toho mohou při úvahách o hlubokém zachycení a kontrole paketů vzniknout silné obavy o soukromí.
Když je třeba provést proces analýzy, může k tomu dojít okamžitě, protože pakety se skutečně pohybují přes rozhraní, takže software pro sběr a kontrolu paketů může rozhodovat. Mohou být také uloženy na pevný disk počítače na dobu neurčitou. V případě analýzy v reálném čase mohou být pakety vyhodnoceny pouze proti známým bezpečnostním problémům nebo obavám, zatímco když jsou shromažďovány v úložišti, mohou být analyzovány později odborníky pro forenzní data, aby pomohly určit, kdy a jak došlo k narušení bezpečnosti.
K dispozici je mnoho programů pro zachytávání paketů. Někteří výrobci síťového hardwaru zahrnují schopnost svých zařízení, například vestavěné funkce pro zachycení paketů v operačním systému Internetwork (IOS), poskytované na hardwaru Cisco Systems®. Čichatelé paketů existují v mnoha podobách, od jednoduché sbírky až po podrobnější analýzu. Mnoho z nejpopulárnějších čichačů paketů jsou softwarové projekty s otevřeným zdrojovým kódem, jako jsou Wireshark a WinPcap, které nejen zachycují pakety, ale také zpracovávají úkoly kontroly a analýzy paketů. Jsou často aktualizovány různorodou komunitou, aby držely krok s nejnovějšími bezpečnostními problémy.