O que é uma captura de pacotes?
A captura de pacotes é simplesmente o processo de prender os pacotes de dados que estão viajando por uma rede de computadores. Com uma captura normal de pacotes, apenas os dados auxiliares contidos no cabeçalho de um pacote, como as informações de endereço ou o formato IP (Internet Protocol) do pacote, são coletados. No caso de Captura de Pacotes Deep (DPC), o pacote inteiro, as informações do cabeçalho e a carga útil de dados reais, é adquirida. O processo também é frequentemente referido como farejo de pacotes.
Qualquer que seja o método de captura de pacotes, o processo pode ocorrer em qualquer uma das camadas do modelo de interconexão de sistemas abertos (OSI) acima da camada, a camada física, uma vez que a camada física funciona apenas com bits na forma de sinais elétricos. A captura de pacotes não ocorre até que esses fluxos e zeros sejam convertidos em pacotes de dados que podem ser coletados. Em qualquer interface de rede, a coleção só pode acontecer para pacotes destinados ao endereço pertencente aessa interface, a menos que a interface esteja configurada para o que é conhecido como modo promíscuo. Uma interface de rede que atua promiscuamente é capaz de capturar não apenas seus próprios pacotes, mas também os destinados a outros.
Quando um administrador de rede deseja adquirir os pacotes de uma interface de rede, ele tem a opção de uma coleção completa ou uma coleção filtrada. Uma coleção completa não possui limites; portanto, todos e todos os pacotes que cruzam a interface são agarrados. Ao filtrar os pacotes, no entanto, eles são avaliados à medida que atravessam a interface e apenas certos pacotes que atendem aos critérios específicos são coletados. Isso permite que o administrador armazene apenas os tipos de pacotes em que ele está interessado ou pacotes em determinados endereços. As coleções filtradas também economizam recursos de hardware e podem ser usadas para arredondar pacotes que podem ser necessários posteriormente para provar a culpabilidade.
Existem muitos propósitos atrás da captura de pacotes, todos os quais giram em torno da noção de inspeção profunda de pacotes (DPI). À medida que os pacotes são adquiridos, eles são inspecionados e analisados por muitos motivos, a maioria dos quais envolve detecção de intrusões, segurança e integridade de dados ou desempenho da rede, embora existam alguns propósitos nefastos de captura de pacotes. Como resultado, fortes preocupações sobre a privacidade podem surgir ao considerar a captura e a inspeção de pacotes profundos.
Quando o processo de análise precisa ocorrer, isso pode acontecer imediatamente, pois os pacotes estão realmente se movendo pela interface para que o software de captura e inspeção de pacotes possa tomar decisões. Como alternativa, eles podem ser armazenados no disco rígido de um computador indefinidamente. No caso da análise em tempo real, os pacotes só podem ser avaliados em relação a questões ou preocupações de segurança conhecidas, enquanto que, quando coletadas em armazenamento, elas podem ser analisadas posteriormente por especialistas em forenses de dados para ajudar a determinar quando ou como uma violação de segurançaocorreu.
Existem inúmeros programas de captura de pacotes disponíveis. Alguns fabricantes de hardware de rede incluem a capacidade em seus dispositivos, como os recursos de captura de pacotes embutidos no Internetwork Operating System (iOS), fornecidos no Hardware Cisco Systems®. Os sniffers de pacotes existem de várias formas, no entanto, da coleção simples a análises mais detalhadas. Muitos dos sniffers de pacotes mais populares são projetos de software de código aberto, como Wireshark e WinPCap, que não apenas capturam pacotes, mas também lidam com tarefas de inspeção e análise de pacotes. Eles são atualizados com frequência por uma comunidade diversificada para acompanhar as questões de segurança mais recentes.