Wat is een pakketopvang?
Packet Capture is eenvoudigweg het proces van het pakken van de pakketten gegevens die door een computernetwerk reizen. Met een normale pakketopname worden alleen de hulpgegevens in de koptekst van een pakket, zoals de adresinformatie of het Internet Protocol (IP) -formaat van het pakket, verzameld. In het geval van Deep Packet Capture (DPC) wordt het gehele pakket, zowel koptekstinformatie als de werkelijke gegevensvergoeding, verkregen. Het proces wordt ook vaak aangeduid als pakket snuiven.
Welke methode van pakketafvang ook, het proces kan plaatsvinden op een van de lagen van het Open Systems Interconnect (OSI) -model boven Layer One, de fysieke laag, omdat de fysieke laag alleen werkt met bits in de vorm van elektrische signalen. Pakketopname komt niet voor totdat die stromen van degenen en nullen worden omgezet in datapakketten die vervolgens kunnen worden verzameld. Over een bepaalde netwerkinterface kan verzameling alleen plaatsvinden voor pakketten die bestemd zijn voor het adres dat erbij hoortDie interface tenzij de interface is geconfigureerd voor wat bekend staat als promiscue modus. Een netwerkinterface die promiscu acteert, kan niet alleen zijn eigen pakketten vastleggen, maar ook voor anderen.
Wanneer een netwerkbeheerder de pakketten wil verwerven die een netwerkinterface tegenkomen, heeft hij de optie van een complete verzameling of een gefilterde verzameling. Een complete collectie heeft geen grenzen, dus alle pakketten die de interface overschrijden, worden gepakt. Bij het filteren van pakketten worden ze echter geëvalueerd als ze de interface doorkruisen en alleen bepaalde pakketten die voldoen aan specifieke criteria worden verzameld. Hierdoor kan de beheerder alleen de soorten pakketten opslaan waarin hij geïnteresseerd is of pakketten op weg naar bepaalde adressen. Gefilterde collecties behouden ook hardwarebronnen en kunnen worden gebruikt om pakketten af te ronden die later nodig kunnen zijn om schuld te bewijzen.
<Er zijn veel doeleinden achter pakketafvang, die allemaal draaien om het idee van diepe pakketinspectie (DPI). Naarmate pakketten worden verkregen, worden ze om vele redenen geïnspecteerd en geanalyseerd, waarvan de meeste betrokken zijn bij inbreuk op de inbreuk, gegevensbeveiliging en integriteit, of netwerkprestaties, hoewel er enkele snode doeleinden van pakketvangst bestaan. Als gevolg hiervan kunnen sterke zorgen over de privacy ontstaan bij het overwegen van diepe pakketopvang en -inspectie.
Wanneer het analyseproces moet plaatsvinden, kan dit onmiddellijk gebeuren, omdat de pakketten daadwerkelijk over de interface bewegen, zodat de pakketopvang- en inspectiesoftware beslissingen kan nemen. Als alternatief kunnen ze voor onbepaalde tijd op de harde schijf van een computer worden opgeslagen. In het geval van realtime analyse kunnen de pakketten alleen worden geëvalueerd tegen bekende beveiligingsproblemen of zorgen, terwijl ze, wanneer ze in opslag worden verzameld, later kunnen worden geanalyseerd door data forensics-specialisten om te helpen bepalen wanneer of hoe een inbreuk op de beveiliginggebeurde.
Er zijn tal van pakketopname -programma's beschikbaar. Sommige fabrikanten van netwerkhardware zijn de mogelijkheden in hun apparaten, zoals de ingebouwde pakketopname-functies in het internetwerk Openingsysteem (iOS), verstrekt op Cisco Systems® Hardware. Pakketniffers bestaan echter in vele vormen, van eenvoudige verzameling tot meer gedetailleerde analyse. Veel van de meest populaire pakketniffers zijn open source softwareprojecten zoals Wireshark en Winpcap, die niet alleen pakketten vastleggen, maar ook pakketinspectie- en analysetaken afhandelen. Ze worden vaak bijgewerkt door een diverse gemeenschap om op de hoogte te blijven van de meest recente beveiligingsproblemen.