Co to jest przechwytywanie pakietów?

Pakiet pakietu jest po prostu procesem wyczerpania pakietów danych, które przechodzą przez sieć komputerową. Przy normalnym przechwytywaniu pakietu gromadzone są tylko dane pomocnicze zawarte w nagłówku pakietu, takie jak informacje o adresie lub format pakietu Protokołu internetowego (IP). W przypadku głębokiego przechwytywania pakietu (DPC), cały pakiet, zarówno informacje nagłówka, jak i faktyczna ładunek danych, jest nabywany. Proces ten jest również często określany jako wąchanie pakietów.

Niezależnie od metody przechwytywania pakietu proces może nastąpić na dowolnej warstwie modelu otwartego układu interconnect (OSI) powyżej warstwy fizycznej, warstwy fizycznej, ponieważ warstwa fizyczna działa tylko z bitami w postaci sygnałów elektrycznych. Zabryczenie pakietów nie występuje, dopóki te strumienie tych i zera nie zostaną przekonwertowane z powrotem na pakiety danych, które można następnie zebrać. W dowolnym interfejsie sieciowym kolekcja może się zdarzyć tylko dla pakietów przeznaczonych dla adresu należącego doTen interfejs, chyba że interfejs jest skonfigurowany dla tak zwanego trybu rozwiązłego. Interfejs sieciowy działający na rozwiązanie jest w stanie uchwycić nie tylko własne pakiety, ale także te przeznaczone dla innych.

Gdy administrator sieci chce zdobyć pakiety napotykane na interfejsie sieciowym, ma on pełną kolekcję lub filtrowaną kolekcję. Kompletna kolekcja nie ma granic, więc wszystkie pakiety przekraczające interfejs są pobierane. Jednak podczas filtrowania pakietów są one oceniane jako przemierzające interfejs i gromadzone są tylko niektóre pakiety spełniające określone kryteria. Umożliwia to administratorowi przechowywanie tylko rodzajów pakietów, które jest zainteresowany lub pakiety zmierzające do określonych adresów. Filtrowane kolekcje oszczędzają również zasoby sprzętowe i mogą być używane do zaokrąglania pakietów, które mogą być potrzebne później, aby udowodnić winy.

Istnieje wiele celów przechwytywania pakietów, z których wszystkie obracają się wokół pojęcia głębokiej kontroli pakietów (DPI). Gdy pakiety są nabywane, są one sprawdzane i analizowane z wielu powodów, z których większość obejmuje wykrywanie włamań, bezpieczeństwo i integralność danych lub wydajność sieci, chociaż istnieją pewne neferyczne cele przechwytywania pakietów. W rezultacie mocne obawy dotyczące prywatności mogą pojawić się przy rozważaniu głębokiego przechwytywania i kontroli.

Gdy proces analizy musi nastąpić, może się to zdarzyć natychmiast, ponieważ pakiety faktycznie poruszają się przez interfejs, aby oprogramowanie do przechwytywania i inspekcji pakietu mogło podejmować decyzje. Alternatywnie można je przechowywać na dysku twardym komputera w nieskończoność. W przypadku analizy w czasie rzeczywistym pakiety można ocenić jedynie pod kątem znanych problemów lub obaw związanych z bezpieczeństwem, podczas gdy po pobraniu w magazynie mogą być analizowane później przez specjalistów danymi kryminalistycznymi, aby pomóc w ustaleniu, kiedy i jak naruszenie bezpieczeństwawystąpił.

Dostępnych jest wiele programów przechwytywania pakietów. Niektórzy producenci sprzętu sieciowego zawierają możliwości w swoich urządzeniach, takich jak wbudowane funkcje przechwytywania pakietów w systemie operacyjnym Internetwork (iOS), dostarczone na sprzęcie Cisco Systems®. Sniffory pakietów istnieją w wielu formach, od prostej kolekcji do bardziej szczegółowej analizy. Wiele najpopularniejszych sniffów pakietów to projekty oprogramowania typu open source, takie jak Wireshark i WinPCAP, które nie tylko przechwytują pakiety, ale także obsługują zadania kontroli i analizy pakietów. Są często aktualizowane przez różnorodną społeczność, aby na bieżąco zachować najnowsze problemy bezpieczeństwa.