Co to jest przechwytywanie pakietów?
Przechwytywanie pakietów to po prostu proces pobierania pakietów danych, które podróżują przez sieć komputerową. Przy normalnym przechwytywaniu pakietów gromadzone są tylko dane pomocnicze zawarte w nagłówku pakietu, takie jak informacje o adresie lub format protokołu internetowego (IP) pakietu. W przypadku głębokiego przechwytywania pakietów (DPC), pobierany jest cały pakiet, zarówno informacje nagłówka, jak i rzeczywisty ładunek danych. Proces ten jest również często nazywany wąchaniem pakietów.
Niezależnie od metody przechwytywania pakietów, proces może odbywać się na dowolnej warstwie modelu połączenia systemów otwartych (OSI) powyżej warstwy pierwszej, warstwy fizycznej, ponieważ warstwa fizyczna działa tylko z bitami w postaci sygnałów elektrycznych. Przechwytywanie pakietów nie następuje, dopóki te strumienie zer i jedynek nie zostaną ponownie przekonwertowane na pakiety danych, które można następnie zebrać. Przez dowolny interfejs sieciowy gromadzenie może się odbywać tylko dla pakietów przeznaczonych dla adresu należącego do tego interfejsu, chyba że interfejs jest skonfigurowany do tak zwanego trybu rozwiązanego. Działający w sposób widoczny interfejs sieciowy może przechwytywać nie tylko własne pakiety, ale także te przeznaczone dla innych.
Gdy administrator sieci chce pozyskać pakiety przechodzące przez interfejs sieciowy, ma opcję pełnego lub przefiltrowanego zbioru. Kompletna kolekcja nie ma granic, więc wszystkie pakiety przechodzące przez interfejs są pobierane. Jednak podczas filtrowania pakietów są one oceniane podczas przechodzenia przez interfejs i gromadzone są tylko niektóre pakiety spełniające określone kryteria. Pozwala to administratorowi przechowywać tylko te typy pakietów, którymi jest zainteresowany, lub pakiety kierowane na określone adresy. Filtrowane kolekcje oszczędzają również zasoby sprzętowe i mogą być używane do zaokrąglania pakietów, które mogą być później potrzebne w celu udowodnienia winy.
Przechwytywanie pakietów ma wiele celów, z których wszystkie dotyczą koncepcji głębokiej kontroli pakietów (DPI). W miarę nabywania pakietów są one sprawdzane i analizowane z wielu powodów, z których większość obejmuje wykrywanie włamań, bezpieczeństwo i integralność danych lub wydajność sieci, chociaż istnieją pewne niecne cele przechwytywania pakietów. W związku z tym mogą pojawić się poważne obawy dotyczące prywatności podczas rozważania głębokiego przechwytywania i kontroli pakietów.
Kiedy proces analizy musi się odbyć, może się to odbyć natychmiast, ponieważ pakiety faktycznie przemieszczają się przez interfejs, dzięki czemu oprogramowanie do przechwytywania i inspekcji pakietów może podejmować decyzje. Alternatywnie można je przechowywać na twardym dysku komputera w nieskończoność. W przypadku analizy w czasie rzeczywistym pakiety można oceniać wyłącznie pod kątem znanych problemów lub obaw związanych z bezpieczeństwem, natomiast po zebraniu w pamięci mogą być później analizowane przez specjalistów ds. Kryminalistyki danych w celu ustalenia, kiedy i jak doszło do naruszenia bezpieczeństwa.
Dostępnych jest wiele programów do przechwytywania pakietów. Niektórzy producenci sprzętu sieciowego uwzględniają w swoich urządzeniach takie funkcje, jak wbudowane funkcje przechwytywania pakietów w internetowym systemie operacyjnym (IOS), udostępnianym na sprzęcie Cisco Systems®. Sniffery pakietów istnieją w wielu formach, od prostej kolekcji po bardziej szczegółową analizę. Wiele z najbardziej popularnych snifferów pakietów to projekty oprogramowania typu open source, takie jak Wireshark i WinPcap, które nie tylko przechwytują pakiety, ale także zajmują się inspekcją i analizą pakietów. Są one często aktualizowane przez zróżnicowaną społeczność, aby być na bieżąco z najnowszymi problemami bezpieczeństwa.