Was ist eine Paketerfassung?
Bei der Paketerfassung werden ganz einfach die Datenpakete erfasst, die über ein Computernetzwerk übertragen werden. Bei einer normalen Paketerfassung werden nur die Zusatzdaten erfasst, die im Header eines Pakets enthalten sind, z. B. die Adressinformationen oder das IP-Format (Internet Protocol) des Pakets. Bei der Deep Packet Capture (DPC) wird das gesamte Paket, sowohl die Header-Informationen als auch die eigentliche Datennutzlast, erfasst. Der Prozess wird oft auch als Paket-Sniffing bezeichnet.
Unabhängig von der Methode der Paketerfassung kann der Prozess auf jeder der Schichten des OSI-Modells (Open Systems Interconnect) über Schicht 1, der physischen Schicht, stattfinden, da die physische Schicht nur mit Bits in Form elektrischer Signale arbeitet. Die Paketerfassung erfolgt erst, wenn diese Datenströme aus Einsen und Nullen wieder in Datenpakete umgewandelt werden, die dann gesammelt werden können. Über eine bestimmte Netzwerkschnittstelle kann die Erfassung nur für Pakete erfolgen, die für die Adresse dieser Schnittstelle bestimmt sind, es sei denn, die Schnittstelle ist für den Promiscuous-Modus konfiguriert. Eine promiskuitiv agierende Netzwerkschnittstelle kann nicht nur ihre eigenen Pakete erfassen, sondern auch diejenigen, die für andere bestimmt sind.
Wenn ein Netzwerkadministrator die Pakete abrufen möchte, die über eine Netzwerkschnittstelle eingehen, kann er eine vollständige Sammlung oder eine gefilterte Sammlung auswählen. Eine vollständige Sammlung kennt keine Grenzen, sodass alle Pakete, die die Schnittstelle passieren, erfasst werden. Beim Filtern von Paketen werden sie jedoch beim Durchlaufen der Schnittstelle ausgewertet und nur bestimmte Pakete, die bestimmte Kriterien erfüllen, werden gesammelt. Auf diese Weise kann der Administrator nur die Pakettypen speichern, an denen er interessiert ist, oder Pakete, die an bestimmte Adressen gesendet werden. Durch gefilterte Sammlungen werden auch Hardwareressourcen geschont und es können Pakete gerundet werden, die möglicherweise später benötigt werden, um die Schuld zu beweisen.
Hinter der Paketerfassung stehen viele Zwecke, die alle mit dem Gedanken der Deep Packet Inspection (DPI) zusammenhängen. Beim Erfassen von Paketen werden diese aus verschiedenen Gründen geprüft und analysiert. Die meisten dieser Gründe betreffen die Erkennung von Eindringlingen, die Datensicherheit und -integrität oder die Netzwerkleistung, obwohl einige schändliche Zwecke der Paketerfassung existieren. Infolgedessen kann es zu starken Bedenken hinsichtlich der Privatsphäre kommen, wenn eine umfassende Paketerfassung und -inspektion in Betracht gezogen wird.
Wenn der Analyseprozess stattfinden muss, kann dies sofort geschehen, da sich die Pakete tatsächlich über die Schnittstelle bewegen, sodass die Paketerfassungs- und -prüfungssoftware Entscheidungen treffen kann. Alternativ können sie auf unbegrenzte Zeit auf der Festplatte eines Computers gespeichert werden. Bei der Echtzeitanalyse können die Pakete nur auf bekannte Sicherheitsprobleme oder -bedenken hin ausgewertet werden. Wenn sie im Speicher gesammelt werden, können sie später von Data Forensics-Spezialisten analysiert werden, um festzustellen, wann oder wie eine Sicherheitsverletzung aufgetreten ist.
Es stehen zahlreiche Programme zur Paketerfassung zur Verfügung. Einige Hersteller von Netzwerkhardware verfügen über die Funktionen ihrer Geräte, z. B. die integrierten Funktionen zur Paketerfassung im IOS (Internetwork Operating System), die auf Cisco Systems®-Hardware bereitgestellt werden. Packet Sniffer gibt es in vielen Formen, von der einfachen Erfassung bis zur detaillierteren Analyse. Viele der beliebtesten Paket-Sniffer sind Open-Source-Softwareprojekte wie Wireshark und WinPcap, die nicht nur Pakete erfassen, sondern auch Aufgaben zur Paketinspektion und -analyse übernehmen. Sie werden von einer vielfältigen Community regelmäßig aktualisiert, um sich über die neuesten Sicherheitsprobleme zu informieren.