Qu'est-ce qu'une capture de paquet?
La capture de paquets est tout simplement le processus consistant à récupérer les paquets de données qui transitent par un réseau informatique. Avec une capture de paquet normale, seules les données auxiliaires contenues dans l'en-tête d'un paquet, telles que les informations d'adresse ou le format de protocole Internet (IP) du paquet, sont collectées. Dans le cas d'une capture de paquet profonde (DPC), l'ensemble du paquet, les informations d'en-tête ainsi que la charge utile de données réelle, est acquis. Le processus est également souvent appelé sniffing de paquet.
Quelle que soit la méthode de capture de paquets, le processus peut avoir lieu sur n’importe laquelle des couches du modèle d’interconnexion de systèmes ouverts (OSI) située au-dessus de la couche 1, la couche physique, car la couche physique ne fonctionne qu’avec des bits sous la forme de signaux électriques. La capture de paquets ne se produit pas tant que ces flux de uns et de zéros ne sont pas reconvertis en paquets de données pouvant ensuite être rassemblés. Sur une interface réseau donnée, la collecte ne peut avoir lieu que pour les paquets destinés à l'adresse appartenant à cette interface, à moins que l'interface ne soit configurée pour ce que l'on appelle le mode promiscuous. Une interface réseau agissant à la légère est capable de capturer non seulement ses propres paquets, mais également ceux destinés à d’autres.
Lorsqu'un administrateur réseau souhaite acquérir les paquets provenant d'une interface réseau, il peut choisir entre une collection complète ou une collection filtrée. Une collection complète n'a pas de limites, donc tous les paquets traversant l'interface sont saisis. Lors du filtrage des paquets, cependant, ils sont évalués lorsqu'ils traversent l'interface et seuls certains paquets répondant à des critères spécifiques sont collectés. Cela permet à l'administrateur de stocker uniquement les types de paquets qui l'intéressent ou les paquets se dirigeant vers certaines adresses. Les collections filtrées préservent également les ressources matérielles et peuvent être utilisées pour arrondir les paquets qui pourraient être nécessaires ultérieurement pour prouver la culpabilité.
La capture de paquets a de nombreux objectifs, qui s’articulent autour de la notion d’inspection approfondie des paquets (DPI). Lorsque les paquets sont acquis, ils sont inspectés et analysés pour différentes raisons, la plupart impliquant la détection d'intrusion, la sécurité et l'intégrité des données, ou les performances du réseau, bien que certains objectifs néfastes de la capture de paquets existent. Par conséquent, la confidentialité des données risque de susciter de vives préoccupations lors de la capture et de l’inspection approfondies de paquets.
Lorsque le processus d'analyse doit avoir lieu, cela peut se produire immédiatement, car les paquets se déplacent réellement à travers l'interface, ce qui permet au logiciel de capture et d'inspection des paquets de prendre des décisions. Alternativement, ils peuvent être stockés indéfiniment sur le disque dur d'un ordinateur. Dans le cas d’une analyse en temps réel, les paquets ne peuvent être évalués que par rapport à des problèmes de sécurité connus, alors qu’ils sont collectés en stockage, ils peuvent ensuite être analysés par des spécialistes de la criminalistique des données pour aider à déterminer quand et comment une violation de sécurité est survenue.
Il existe de nombreux programmes de capture de paquets disponibles. Certains fabricants de matériel réseau incluent des fonctionnalités sur leurs périphériques, telles que les fonctionnalités intégrées de capture de paquets du système d'exploitation inter-réseau (IOS), fournies sur le matériel Cisco Systems®. Les renifleurs de paquets existent sous de nombreuses formes, allant de la simple collecte à une analyse plus détaillée. La plupart des renifleurs de paquets les plus populaires sont des projets logiciels à code source ouvert tels que Wireshark et WinPcap, qui non seulement capturent des paquets, mais gèrent également des tâches d'inspection et d'analyse des paquets. Ils sont mis à jour fréquemment par une communauté diverse pour se tenir au courant des problèmes de sécurité les plus récents.