O que é uma captura de pacotes?
A captura de pacotes é simplesmente o processo de capturar os pacotes de dados que estão viajando através de uma rede de computadores. Com uma captura de pacote normal, apenas os dados auxiliares contidos no cabeçalho de um pacote, como as informações de endereço ou o formato do protocolo Internet (IP) do pacote, são coletados. No caso da captura profunda de pacotes (DPC), o pacote inteiro, tanto as informações do cabeçalho quanto a carga útil real dos dados, são adquiridas. O processo também é chamado de sniffing de pacotes.
Qualquer que seja o método de captura de pacotes, o processo pode ocorrer em qualquer uma das camadas do modelo OSI (Open Systems Interconnect) acima da camada um, a camada física, uma vez que a camada física funciona apenas com bits na forma de sinais elétricos. A captura de pacotes não ocorre até que os fluxos de uns e zeros sejam convertidos novamente em pacotes de dados que podem ser reunidos. Em qualquer interface de rede, a coleta só pode acontecer para pacotes destinados ao endereço pertencente a essa interface, a menos que a interface esteja configurada para o que é conhecido como modo promíscuo. Uma interface de rede agindo com promiscuidade é capaz de capturar não apenas seus próprios pacotes, mas também aqueles destinados a outros.
Quando um administrador de rede deseja adquirir os pacotes através de uma interface de rede, ele tem a opção de uma coleção completa ou uma coleção filtrada. Uma coleção completa não tem limites; portanto, todos e quaisquer pacotes que cruzam a interface são capturados. Ao filtrar pacotes, no entanto, eles são avaliados à medida que atravessam a interface e apenas certos pacotes que atendem a critérios específicos são coletados. Isso permite que o administrador armazene apenas os tipos de pacotes nos quais ele está interessado ou os pacotes que direcionam para determinados endereços. As coleções filtradas também conservam os recursos de hardware e podem ser usadas para reunir pacotes necessários posteriormente para provar a culpa.
Há muitos propósitos por trás da captura de pacotes, todos os quais giram em torno da noção de inspeção profunda de pacotes (DPI). À medida que os pacotes são adquiridos, eles são inspecionados e analisados por vários motivos, a maioria dos quais envolve detecção de intrusão, segurança e integridade de dados ou desempenho da rede, embora existam alguns propósitos nefastos de captura de pacotes. Como resultado, podem surgir fortes preocupações com a privacidade ao considerar a captura e inspeção profunda de pacotes.
Quando o processo de análise precisa ocorrer, isso pode acontecer imediatamente, pois os pacotes estão realmente se movendo pela interface, para que o software de captura e inspeção de pacotes possa tomar decisões. Como alternativa, eles podem ser armazenados no disco rígido de um computador indefinidamente. No caso da análise em tempo real, os pacotes só podem ser avaliados em relação a questões ou preocupações de segurança conhecidas, enquanto que, quando coletados no armazenamento, podem ser analisados posteriormente por especialistas forenses de dados para ajudar a determinar quando ou como ocorreu uma violação de segurança.
Existem vários programas de captura de pacotes disponíveis. Alguns fabricantes de hardware de rede incluem a capacidade de seus dispositivos, como os recursos internos de captura de pacotes no Internetwork Operating System (IOS), fornecidos no hardware do Cisco Systems®. Os farejadores de pacotes existem de várias formas, desde a coleta simples até análises mais detalhadas. Muitos dos farejadores de pacotes mais populares são projetos de software de código aberto, como Wireshark e WinPcap, que não apenas capturam pacotes, mas também lidam com tarefas de inspeção e análise de pacotes. Eles são atualizados com frequência por uma comunidade diversificada para acompanhar os problemas de segurança mais recentes.