Che cos'è l'acquisizione di pacchetti?
L'acquisizione di pacchetti è semplicemente il processo di acquisizione dei pacchetti di dati che viaggiano attraverso una rete di computer. Con una normale acquisizione di pacchetti, vengono raccolti solo i dati ausiliari contenuti nell'intestazione di un pacchetto, come le informazioni sull'indirizzo o il formato IP (Internet Protocol) del pacchetto. Nel caso di deep packet capture (DPC), viene acquisito l'intero pacchetto, sia le informazioni di intestazione che il carico utile effettivo dei dati. Il processo viene anche spesso definito sniffing dei pacchetti.
Qualunque sia il metodo di acquisizione dei pacchetti, il processo può aver luogo su uno qualsiasi dei livelli del modello di interconnessione di sistemi aperti (OSI) sopra il livello uno, il livello fisico, poiché il livello fisico funziona solo con bit sotto forma di segnali elettrici. L'acquisizione di pacchetti non si verifica fino a quando i flussi di uno e di questi zeri non vengono riconvertiti in pacchetti di dati che possono essere raccolti. Su una data interfaccia di rete, la raccolta può avvenire solo per i pacchetti destinati all'indirizzo che appartiene a quell'interfaccia a meno che l'interfaccia non sia configurata per la cosiddetta modalità promiscua. Un'interfaccia di rete che agisce in modo promiscuo è in grado di catturare non solo i propri pacchetti, ma anche quelli destinati ad altri.
Quando un amministratore di rete desidera acquisire i pacchetti che attraversano un'interfaccia di rete, ha la possibilità di una raccolta completa o di una raccolta filtrata. Una raccolta completa non ha confini, quindi vengono presi tutti i pacchetti che attraversano l'interfaccia. Quando si filtrano i pacchetti, tuttavia, vengono valutati mentre attraversano l'interfaccia e vengono raccolti solo determinati pacchetti che soddisfano criteri specifici. Ciò consente all'amministratore di memorizzare solo i tipi di pacchetti a cui è interessato o i pacchetti diretti a determinati indirizzi. Le raccolte filtrate conservano anche le risorse hardware e possono essere utilizzate per arrotondare i pacchetti che potrebbero essere necessari in seguito per dimostrare la colpevolezza.
Ci sono molti scopi dietro l'acquisizione di pacchetti, che ruotano intorno alla nozione di ispezione profonda dei pacchetti (DPI). Quando i pacchetti vengono acquisiti, vengono ispezionati e analizzati per molte ragioni, la maggior parte delle quali comporta il rilevamento delle intrusioni, la sicurezza e l'integrità dei dati o le prestazioni della rete, sebbene esistano alcuni scopi nefasti di acquisizione dei pacchetti. Di conseguenza, quando si considerano l'acquisizione e l'ispezione di pacchetti profondi possono sorgere forti preoccupazioni per la privacy.
Quando il processo di analisi deve aver luogo, può avvenire immediatamente, poiché i pacchetti si stanno effettivamente spostando attraverso l'interfaccia in modo che il software di acquisizione e ispezione dei pacchetti possa prendere decisioni. In alternativa, possono essere memorizzati sul disco rigido di un computer a tempo indeterminato. Nel caso dell'analisi in tempo reale, i pacchetti possono essere valutati solo in base a problemi o preoccupazioni di sicurezza noti, mentre quando raccolti in memoria, possono essere analizzati in seguito da specialisti della medicina legale per aiutare a determinare quando o come si è verificata una violazione della sicurezza.
Sono disponibili numerosi programmi di acquisizione dei pacchetti. Alcuni produttori di hardware di rete includono le funzionalità dei loro dispositivi, come le funzionalità di acquisizione dei pacchetti integrate nel sistema operativo Internetwork (IOS), fornite sull'hardware Cisco Systems®. Gli sniffer di pacchetti esistono in molte forme, dalla raccolta semplice all'analisi più dettagliata. Molti dei più famosi sniffer di pacchetti sono progetti software open source come Wireshark e WinPcap, che non solo acquisiscono pacchetti, ma gestiscono anche attività di ispezione e analisi dei pacchetti. Vengono aggiornati frequentemente da una community diversificata per tenere il passo con i problemi di sicurezza più recenti.