Hvad er en pakkeoptagelse?
Pakkeopsamling er ganske enkelt processen med at pakke pakkerne med data, der rejser gennem et computernetværk. Ved en normal pakkeopsamling indsamles kun de hjælpedata, der er indeholdt i en pakkens overskrift, såsom adresseoplysninger eller IP-format (Internet Protocol) for pakken. I tilfælde af deep packet capture (DPC) erhverves hele pakken, både headerinformation såvel som den faktiske data-nyttelast. Processen kaldes også ofte pakkesniffing.
Uanset hvilken metode til pakkeindfangning kan processen finde sted på et hvilket som helst af lagene i OSI-modellen (open systems interconnect) over lag et, det fysiske lag, da det fysiske lag kun fungerer med bits i form af elektriske signaler. Pakkeoptagelse forekommer ikke, før disse strømme og nuller konverteres tilbage til datapakker, som derefter kan samles. Over en given netværksgrænseflade kan indsamling kun ske for pakker, der er bestemt til den adresse, der hører til den pågældende grænseflade, medmindre grænsefladen er konfigureret til det, der kaldes promiskuøs tilstand. En netværksgrænseflade, der handler promiskuøst, er i stand til at fange ikke kun sine egne pakker, men også dem, der er bestemt til andre.
Når en netværksadministrator ønsker at erhverve de pakker, der kommer på tværs af en netværksgrænseflade, har han muligheden for en komplet samling eller en filtreret samling. En komplet samling har ingen grænser, så alle pakker, der krydser grænsefladen, bliver taget. Når du filtrerer pakker, evalueres de imidlertid, da de krydser grænsefladen, og kun visse pakker, der opfylder specifikke kriterier, indsamles. Dette gør det muligt for administratoren kun at gemme de typer pakker, han er interesseret i, eller pakker, der går til bestemte adresser. Filtrerede samlinger sparer også hardware-ressourcer og kan bruges til at afrunde pakker, der senere kan være nødvendige for at bevise skyldfølelse.
Der er mange formål bag pakkefangst, som alle drejer sig om forestillingen om dyb pakkeinspektion (DPI). Efterhånden som pakker erhverves, inspiceres og analyseres de af mange grunde, hvoraf de fleste involverer indtrængningsdetektion, datasikkerhed og integritet eller netværkets ydeevne, skønt der findes nogle uærlige formål med pakkeindfangning. Som et resultat kan der opstå stærke bekymringer for privatlivets fred, når man overvejer dyb pakkeindfangning og -inspektion.
Når analyseprocessen skal finde sted, kan det ske med det samme, da pakkerne faktisk bevæger sig på tværs af grænsefladen, så pakkeopsamlings- og inspektionssoftwaren kan træffe beslutninger. Alternativt kan de gemmes på en computers harddisk på ubestemt tid. I tilfælde af realtidsanalyse kan pakkerne kun evalueres ud fra kendte sikkerhedsspørgsmål eller bekymringer, mens de, når de indsamles i opbevaring, senere kan analyseres af dataforskningsspecialister for at hjælpe med at afgøre, hvornår eller hvordan et sikkerhedsbrud opstod.
Der er adskillige pakkeoptagelsesprogrammer tilgængelige. Nogle netværkshardwareproducenter inkluderer muligheden på deres enheder, såsom de indbyggede pakkeoptagelsesfunktioner i Internetwork-operativsystemet (IOS), der leveres på Cisco Systems®-hardware. Pakkesniffere findes imidlertid i mange former, fra enkel samling til mere detaljeret analyse. Mange af de mest populære pakkesniffere er open source-softwareprojekter som Wireshark og WinPcap, som ikke kun fanger pakker, men også håndterer pakkeinspektions- og analyseopgaver. De opdateres ofte af et mangfoldigt samfund for at holde sig ajour med de seneste sikkerhedsspørgsmål.