Hva er en pakkefangst?

Pakkefangst er ganske enkelt prosessen med å pakke pakker med data som reiser gjennom et datanettverk. Ved en normal pakkefangst samles bare hjelpedataene i en pakkeoverskrift, for eksempel adresseinformasjonen eller Internet Protocol (IP) -formatet til pakken. Når det gjelder dyp pakkefangst (DPC), anskaffes hele pakken, både toppinformasjon og faktisk nyttelast. Prosessen blir også referert til som pakkesniffing.

Uansett hvilken metode for pakkefangst, kan prosessen foregå på et hvilket som helst av lagene i OSI-modellen (open systems interconnect) over lag en, det fysiske laget, siden det fysiske laget bare fungerer med biter i form av elektriske signaler. Pakkefangst skjer ikke før de strømmer av en og nuller konverteres tilbake til datapakker som deretter kan samles. Over et gitt nettverksgrensesnitt kan samling bare skje for pakker som er bestemt til adressen som tilhører det grensesnittet, med mindre grensesnittet er konfigurert for det som kalles promiskuøs modus. Et nettverksgrensesnitt som handler promiskuøst, er i stand til å fange ikke bare sine egne pakker, men også de som er bestemt for andre.

Når en nettverksadministrator ønsker å skaffe seg pakkene som kommer over et nettverksgrensesnitt, har han muligheten til en komplett samling eller en filtrert samling. En komplett samling har ingen grenser, så alle pakker som krysser grensesnittet blir fanget. Når du filtrerer pakker, blir de imidlertid evaluert når de krysser grensesnittet, og bare visse pakker som oppfyller spesifikke kriterier blir samlet. Dette gjør det mulig for administratoren å bare lagre de typer pakkene han er interessert i, eller pakker på vei til bestemte adresser. Filtrerte samlinger sparer også maskinvareressurser og kan brukes til å avrunde pakker som kan være nødvendige senere for å bevise skyldighet.

Det er mange formål bak pakkefangst, som alle dreier seg om forestillingen om dyp pakkeinspeksjon (DPI). Når pakker er anskaffet, blir de inspisert og analysert av mange grunner, de fleste involverer inntrengingsdeteksjon, datasikkerhet og integritet, eller nettverksytelse, selv om noen skjemmende formål med pakkefangst eksisterer. Som et resultat kan sterke bekymringer for personvern oppstå når du vurderer dyp pakkefangst og -inspeksjon.

Når analyseprosessen må finne sted, kan det skje umiddelbart, ettersom pakkene faktisk beveger seg over grensesnittet slik at pakkefangst- og inspeksjonsprogramvaren kan ta beslutninger. Alternativt kan de lagres på datamaskinens harddisk på ubestemt tid. Når det gjelder sanntidsanalyse, kan pakkene bare evalueres mot kjente sikkerhetsproblemer eller bekymringer, mens de kan samles i lagring senere av data rettsmedisinske spesialister for å bestemme når eller hvordan et sikkerhetsbrudd skjedde.

Det er mange pakkefangstprogrammer tilgjengelig. Noen nettverksmaskinvareprodusenter inkluderer muligheten på enhetene sine, for eksempel de innebygde pakkefangstfunksjonene i Internetwork Operating System (IOS), som leveres på Cisco Systems®-maskinvare. Pakkesniffere finnes i mange former, fra enkel samling til mer detaljert analyse. Mange av de mest populære pakkesnifferne er open source-programvareprosjekter som Wireshark og WinPcap, som ikke bare fanger opp pakker, men også håndterer pakkeinspeksjon og analyseoppgaver. De oppdateres ofte av et mangfoldig samfunn for å holde deg oppdatert på de nyeste sikkerhetsproblemene.