Wat is een pakketopname?
Het vastleggen van pakketten is eenvoudigweg het proces van het oppakken van de gegevenspakketten die via een computernetwerk reizen. Bij een normale pakketopname worden alleen de hulpgegevens in de header van een pakket verzameld, zoals de adresinformatie of het Internet Protocol (IP) -formaat van het pakket. In het geval van deep packet capture (DPC) wordt het volledige pakket, zowel kopinformatie als de feitelijke gegevensbelasting, verkregen. Het proces wordt ook vaak pakketsnuiven genoemd.
Welke methode voor het vastleggen van pakketten ook, het proces kan plaatsvinden op elk van de lagen van het open systems interconnect (OSI) -model boven laag één, de fysieke laag, omdat de fysieke laag alleen werkt met bits in de vorm van elektrische signalen. Het vastleggen van pakketten vindt niet plaats totdat die stromen van enen en nullen weer worden omgezet in datapakketten die vervolgens kunnen worden verzameld. Via een bepaalde netwerkinterface kan het verzamelen alleen plaatsvinden voor pakketten die zijn bestemd voor het adres dat bij die interface hoort, tenzij de interface is geconfigureerd voor de zogenaamde promiscue-modus. Een promiscuious netwerkinterface kan niet alleen zijn eigen pakketten vastleggen, maar ook die voor anderen.
Wanneer een netwerkbeheerder de pakketten wil kopen die via een netwerkinterface binnenkomen, heeft hij de optie van een volledige verzameling of een gefilterde verzameling. Een complete verzameling kent geen grenzen, dus alle pakketten die de interface passeren worden gepakt. Bij het filteren van pakketten worden ze echter geëvalueerd terwijl ze de interface passeren en worden alleen bepaalde pakketten verzameld die aan specifieke criteria voldoen. Hierdoor kan de beheerder alleen de soorten pakketten opslaan waarin hij is geïnteresseerd of pakketten die naar bepaalde adressen gaan. Gefilterde collecties besparen ook hardwarebronnen en kunnen worden gebruikt om pakketten af te ronden die later nodig kunnen zijn om schuld te bewijzen.
Er zijn veel doelen achter het vastleggen van pakketten, die allemaal draaien om het idee van diepe pakketinspectie (DPI). Terwijl pakketten worden verworven, worden ze om vele redenen geïnspecteerd en geanalyseerd, waarvan de meeste betrekking hebben op indringingsdetectie, gegevensbeveiliging en -integriteit of netwerkprestaties, hoewel er enkele schadelijke doeleinden van pakketvastlegging bestaan. Als gevolg hiervan kunnen grote zorgen over de privacy ontstaan bij het overwegen van deep packets capture en inspectie.
Wanneer het analyseproces moet plaatsvinden, kan dit onmiddellijk gebeuren, omdat de pakketten daadwerkelijk over de interface worden verplaatst, zodat de software voor het vastleggen en inspecteren van pakketten beslissingen kan nemen. Als alternatief kunnen ze voor onbepaalde tijd op de harde schijf van een computer worden opgeslagen. In het geval van realtime analyse kunnen de pakketten alleen worden geëvalueerd aan de hand van bekende beveiligingsproblemen of -problemen, terwijl ze in de opslag kunnen worden geanalyseerd door data forensics-specialisten om te helpen bepalen wanneer of hoe een beveiligingslek heeft plaatsgevonden.
Er zijn talloze pakketopnameprogramma's beschikbaar. Sommige fabrikanten van netwerkhardware nemen de mogelijkheid op in hun apparaten, zoals de ingebouwde functies voor het vastleggen van pakketten in het Internetwork Operating System (IOS), aangeboden op hardware van Cisco Systems®. Pakketsnuifjes bestaan in vele vormen, van eenvoudige verzameling tot meer gedetailleerde analyse. Veel van de meest populaire packet sniffers zijn open source softwareprojecten zoals Wireshark en WinPcap, die niet alleen pakketten vastleggen, maar ook pakketinspectie- en analysetaken uitvoeren. Ze worden regelmatig bijgewerkt door een diverse community om op de hoogte te blijven van de meest recente beveiligingsproblemen.