¿Qué es una captura de paquetes?

La captura de paquetes

es simplemente el proceso de atrapar los paquetes de datos que viajan a través de una red de computadoras. Con una captura normal de paquetes, solo se recopilan los datos auxiliares contenidos en el encabezado de un paquete, como la información de dirección o el formato del protocolo de Internet (IP) del paquete. En el caso de la captura de paquetes profundos (DPC), se adquiere todo el paquete, tanto la información del encabezado como la carga útil de datos real. El proceso también a menudo se conoce como olfateo de paquetes.

Cualquiera que sea el método de captura de paquetes, el proceso puede tener lugar en cualquiera de las capas del modelo de interconexión de sistemas abiertos (OSI) por encima de la capa uno, la capa física, ya que la capa física solo funciona con bits en forma de señales eléctricos. La captura de paquetes no ocurre hasta que esas corrientes de otras y ceros se convierten en paquetes de datos que luego se pueden recopilar. En cualquier interfaz de red dada, la colección solo puede ocurrir para paquetes destinados a la dirección que pertenece aEsa interfaz a menos que la interfaz esté configurada para lo que se conoce como modo promiscuo. Una interfaz de red que actúa promiscuamente es capaz de capturar no solo sus propios paquetes, sino también para los demás.

Cuando un administrador de red desea adquirir los paquetes que se encuentran en una interfaz de red, tiene la opción de una colección completa o una colección filtrada. Una colección completa no tiene límites, por lo que se agarran todos y cada uno de los paquetes que cruzan la interfaz. Sin embargo, al filtrar paquetes, se evalúan a medida que atraviesan la interfaz y solo se recopilan ciertos paquetes que cumplen con criterios específicos. Esto permite al administrador almacenar solo los tipos de paquetes que está interesado o paquetes que se dirigen a ciertas direcciones. Las colecciones filtradas también conservan los recursos de hardware y pueden usarse para redondear paquetes que pueden ser necesarios más tarde para demostrar la culpabilidad.

Hay muchos propósitos detrás de la captura de paquetes, todos los cuales giran en torno a la noción de inspección profunda de paquetes (DPI). A medida que se adquieren los paquetes, se inspeccionan y analizan por muchas razones, la mayoría de las cuales implican detección de intrusos, seguridad e integridad de datos, o rendimiento de la red, aunque existen algunos propósitos nefastos de captura de paquetes. Como resultado, pueden surgir fuertes preocupaciones sobre la privacidad al considerar la captura e inspección de paquetes profundos.

Cuando se debe tener lugar el proceso de análisis, puede ocurrir de inmediato, ya que los paquetes realmente se mueven a través de la interfaz para que el software de captura e inspección de paquetes pueda tomar decisiones. Alternativamente, se pueden almacenar en el disco duro de una computadora indefinidamente. En el caso del análisis en tiempo real, los paquetes solo pueden evaluarse con problemas o inquietudes de seguridad conocidos, mientras que cuando se recopilan en almacenamiento, los especialistas en Forensics de Data pueden analizarlos más tarde para ayudar a determinar cuándo o cómo una violación de seguridadocurrió.

Hay numerosos programas de captura de paquetes disponibles. Algunos fabricantes de hardware de red incluyen la capacidad en sus dispositivos, como las funciones de captura de paquetes incorporadas en el sistema operativo Internetwork (iOS), proporcionada en el hardware Cisco Systems®. Sin embargo, existen bisnios de paquetes en muchas formas, desde una simple colección hasta un análisis más detallado. Muchos de los bisnios de paquetes más populares son proyectos de software de código abierto, como Wireshark y WinPCAP, que no solo capturan paquetes, sino que también manejan tareas de inspección y análisis de paquetes. Son actualizados con frecuencia por una comunidad diversa para mantenerse al tanto de los problemas de seguridad más recientes.