Cos'è una cattura di pacchetti?
La cattura dei pacchetti è semplicemente il processo di cattura dei pacchetti di dati che viaggiano attraverso una rete di computer. Con una normale acquisizione di pacchetti, vengono raccolti solo i dati ausiliari contenuti nell'intestazione di un pacchetto, come le informazioni sull'indirizzo o il formato IP (Internet Protocol) del pacchetto. Nel caso di Deep Packet Capture (DPC), viene acquisito l'intero pacchetto, sia le informazioni sull'intestazione che il carico utile effettivo dei dati. Il processo viene spesso definito come sniffing dei pacchetti.
Qualunque metodo di cattura dei pacchetti, il processo può avvenire su uno qualsiasi degli strati del modello di interconnessione di sistemi aperti (OSI) sopra lo strato uno, lo strato fisico, poiché lo strato fisico funziona solo con i bit nella forma di segnali elettrici. L'acquisizione dei pacchetti non si verifica fino a quando quei flussi di quelli e zeri vengono convertiti in pacchetti di dati che possono quindi essere raccolti. In ogni interfaccia di rete, la raccolta può avvenire solo per i pacchetti destinati all'indirizzo appartenente aTale interfaccia a meno che l'interfaccia non sia configurata per ciò che è noto come modalità promiscua. Un'interfaccia di rete che agisce promiscuamente è in grado di catturare non solo i propri pacchetti, ma anche quelli destinati agli altri.
Quando un amministratore di rete desidera acquisire i pacchetti che attraversano un'interfaccia di rete, ha la possibilità di una raccolta completa o di una raccolta filtrata. Una collezione completa non ha confini, quindi tutti i pacchetti che attraversano l'interfaccia vengono afferrati. Quando si filtrano i pacchetti, tuttavia, vengono valutati mentre attraversano l'interfaccia e vengono raccolti solo alcuni pacchetti che soddisfano criteri specifici. Ciò consente all'amministratore di archiviare solo i tipi di pacchetti che è interessato o i pacchetti che si dirigono verso determinati indirizzi. Le raccolte filtrate conservano anche le risorse hardware e possono essere utilizzate per arrotondare i pacchetti che potrebbero essere necessari in seguito per dimostrare la colpevolezza.
ci sono molti scopi dietro la cattura dei pacchetti, che ruotano tutti attorno alla nozione di ispezione dei pacchetti profondi (DPI). Man mano che i pacchetti vengono acquisiti, vengono ispezionati e analizzati per molte ragioni, la maggior parte delle quali comporta il rilevamento di intrusioni, la sicurezza dei dati e l'integrità o le prestazioni della rete, sebbene esistano alcuni scopi nefasti della cattura dei pacchetti. Di conseguenza, possono sorgere forti preoccupazioni per la privacy quando si considerano una profonda cattura e ispezione dei pacchetti.
Quando il processo di analisi deve avvenire, può avvenire immediatamente, poiché i pacchetti si stanno effettivamente muovendo attraverso l'interfaccia in modo che il software di acquisizione e ispezione dei pacchetti possa prendere decisioni. In alternativa, possono essere archiviati sul disco rigido di un computer indefinitamente. Nel caso dell'analisi in tempo reale, i pacchetti possono essere valutati solo contro problemi o preoccupazioni di sicurezza noti, mentre quando raccolti in memoria, possono essere analizzati in seguito da specialisti della forense di dati per aiutare a determinare quando o come una violazione della sicurezzasi è verificato.
Sono disponibili numerosi programmi di acquisizione dei pacchetti. Alcuni produttori di hardware di rete includono la funzionalità nei loro dispositivi, come le funzionalità di acquisizione dei pacchetti integrati nel sistema operativo Internet (iOS), forniti sull'hardware Cisco Systems®. Gli sniffer di pacchetti esistono in molte forme, tuttavia, dalla semplice raccolta all'analisi più dettagliata. Molti degli sniffer di pacchetti più popolari sono progetti software open source come Wireshark e WinPcap, che non solo acquisiscono pacchetti, ma gestiscono anche le attività di ispezione e analisi dei pacchetti. Sono aggiornati frequentemente da una comunità diversificata per tenersi al passo con i problemi di sicurezza più recenti.