パケットキャプチャとは

パケットキャプチャは、コンピューターネットワークを移動するデータのパケットを取得するプロセスです。 通常のパケットキャプチャでは、アドレス情報やパケットのインターネットプロトコル(IP)形式など、パケットのヘッダーに含まれる補助データのみが収集されます。 ディープパケットキャプチャ(DPC)の場合、ヘッダー情報と実際のデータペイロードの両方のパケット全体が取得されます。 このプロセスは、パケットスニッフィングとも呼ばれます。

物理層は電気信号の形式のビットでのみ機能するため、パケットキャプチャの方法にかかわらず、プロセスはレイヤー1の上のオープンシステムインターコネクト(OSI)モデルの任意の層、つまり物理層で実行できます。 1と0のストリームがデータパケットに変換されてから収集できるようになるまで、パケットキャプチャは発生しません。 任意のネットワークインターフェイス上で、収集は、そのインターフェイスがプロミスキャスモードと呼ばれるものに設定されていない限り、そのインターフェイスに属するアドレス宛てのパケットに対してのみ発生します。 無差別に動作するネットワークインターフェイスは、自身のパケットだけでなく、他のパケットもキャプチャすることができます。

ネットワーク管理者がネットワークインターフェイスを通過するパケットを取得する場合、完全なコレクションまたはフィルターされたコレクションのオプションがあります。 完全なコレクションには境界がないため、インターフェイスを通過するすべてのパケットが取得されます。 ただし、パケットをフィルタリングする場合、インターフェイスを通過するときに評価され、特定の基準を満たす特定のパケットのみが収集されます。 これにより、管理者は、関心のある種類のパケットまたは特定のアドレスに向かうパケットのみを保存できます。 また、フィルター処理されたコレクションはハードウェアリソースを節約し、後で過失を証明するために必要なパケットを切り上げるために使用できます。

パケットキャプチャの背後には多くの目的があり、そのすべてがディープパケットインスペクション(DPI)の概念を中心に展開しています。 パケットが取得されると、多くの理由で検査と分析が行われますが、そのほとんどは侵入検知、データのセキュリティと整合性、またはネットワークパフォーマンスに関係しますが、パケットキャプチャの目的はいくつかあります。 その結果、詳細なパケットのキャプチャと検査を検討する際に、プライバシーに対する強い懸念が生じる可能性があります。

分析プロセスを実行する必要がある場合、パケットが実際にインターフェイス上を移動しているため、パケットキャプチャおよび検査ソフトウェアが決定を下すことができるため、すぐに実行できます。 または、コンピューターのハードドライブに無期限に保存することもできます。 リアルタイム分析の場合、パケットは既知のセキュリティの問題または懸念に対してのみ評価できますが、ストレージで収集された場合、後でデータフォレンジックスペシャリストがパケットを分析して、セキュリティ違反がいつまたはどのように発生したかを判断できます。

多数のパケットキャプチャプログラムが利用可能です。 一部のネットワークハードウェアメーカーは、CiscoSystems®ハードウェアで提供されるInternetwork Operating System(IOS)の組み込みパケットキャプチャ機能など、デバイスに機能を組み込んでいます。 ただし、パケットスニファーは、単純な収集からより詳細な分析まで、多くの形式で存在します。 最も人気のあるパケットスニファーの多くは、WiresharkやWinPcapなどのオープンソースソフトウェアプロジェクトであり、パケットをキャプチャするだけでなく、パケットの検査と分析タスクも処理します。 最新のセキュリティ問題に遅れないように、多様なコミュニティによって頻繁に更新されます。

他の言語

この記事は参考になりましたか? フィードバックをお寄せいただきありがとうございます フィードバックをお寄せいただきありがとうございます

どのように我々は助けることができます? どのように我々は助けることができます?

関連記事