パケットキャプチャとは何ですか?
パケットキャプチャは、コンピューターネットワークを介して移動しているデータのパケットを獲得するプロセスです。 通常のパケットキャプチャを使用すると、パケットのアドレス情報やインターネットプロトコル(IP)形式など、パケットのヘッダーに含まれる補助データのみが収集されます。 ディープパケットキャプチャ(DPC)の場合、ヘッダー情報と実際のデータペイロードの両方のパケット全体が取得されます。 このプロセスは、パケットスニッフィングとも呼ばれます。
パケットキャプチャのいずれの方法でも、物理レイヤーは電気信号の形のビットのみを使用するため、オープンシステムの相互接続(OSI)モデルの層のいずれかで物理レイヤーのいずれかで行われます。 パケットキャプチャは、それらのストリームとゼロのストリームがデータパケットに戻されるまで発生しません。 特定のネットワークインターフェイスを介して、コレクションは、インターフェイスが無差別モードと呼ばれるものに対して構成されていない限り、そのインターフェイス。 無差別に作用するネットワークインターフェイスは、独自のパケットだけでなく、他のパケットも運命づけられているパケットをキャプチャすることができます。
ネットワーク管理者がネットワークインターフェイスに至るパケットを取得したい場合、完全なコレクションまたはフィルタリングコレクションのオプションがあります。 完全なコレクションには境界がないため、インターフェイスを横切るすべてのパケットがつかみます。 ただし、パケットをフィルタリングすると、インターフェイスを通過するときに評価され、特定の基準を満たす特定のパケットのみが収集されます。 これにより、管理者は、興味のあるパケットの種類のみを保存できます。 フィルタリングされたコレクションもハードウェアリソースを節約し、過失を証明するために後で必要になる可能性のあるパケットを切り上げるために使用できます。
パケットキャプチャの背後には多くの目的があり、そのすべてが深いパケット検査(DPI)の概念を中心に展開しています。 パケットが取得されると、多くの理由で検査および分析されます。そのほとんどは、侵入検知、データセキュリティと完全性、またはネットワークパフォーマンスを伴いますが、パケットキャプチャのいくつかの目的の目的は存在します。 その結果、ディープパケットのキャプチャと検査を検討すると、プライバシーに対する強い懸念が生じる可能性があります。
分析のプロセスが行われる必要がある場合、パケットがインターフェースを横切って実際に移動しているため、パケットキャプチャおよび検査ソフトウェアが決定を下すことができるため、すぐに発生する可能性があります。 あるいは、コンピューターのハードドライブに無期限に保存することもできます。 リアルタイム分析の場合、パケットは既知のセキュリティの問題や懸念に対してのみ評価できますが、ストレージで収集された場合、データフォレンジックスペシャリストによって後で分析して、セキュリティ侵害のいつ、どのようにしてどのように判断するかを支援できます。発生した。
利用可能なパケットキャプチャプログラムが多数あります。 一部のネットワークハードウェアメーカーには、CiscoSystems®ハードウェアで提供されるインターネットワークオペレーティングシステム(iOS)に組み込まれたパケットキャプチャ機能など、デバイスの機能が含まれています。 ただし、パケットスニッファーは、シンプルなコレクションからより詳細な分析まで、さまざまな形で存在します。 最も人気のあるパケットスニファーの多くは、WiresharkやWinpCapなどのオープンソースソフトウェアプロジェクトです。これは、パケットをキャプチャするだけでなく、パケット検査と分析タスクも処理します。これらは、最新のセキュリティの問題に遅れないように、多様なコミュニティによって頻繁に更新されます。