Перехват пакетов - это просто процесс захвата пакетов данных, которые проходят через компьютерную сеть. При обычном захвате пакета собираются только вспомогательные данные, содержащиеся в заголовке пакета, такие как информация об адресе или формат пакета Интернет-протокола (IP). В случае глубокого захвата пакета (DPC) получается весь пакет, как информация заголовка, так и фактическая полезная нагрузка данных. Этот процесс также часто называют анализом пакетов.

Какой бы способ захвата пакетов ни происходил, процесс может происходить на любом из уровней модели взаимодействия открытых систем (OSI) выше первого уровня, физического уровня, поскольку физический уровень работает только с битами в форме электрических сигналов. Захват пакетов не происходит, пока эти потоки единиц и нулей не будут преобразованы обратно в пакеты данных, которые затем могут быть собраны. В любом заданном сетевом интерфейсе сбор может происходить только для пакетов, предназначенных для адреса, принадлежащего этому интерфейсу, если интерфейс не настроен на так называемый случайный режим. Действующий беспорядочно сетевой интерфейс способен захватывать не только свои собственные пакеты, но и те, которые предназначены для других.

Когда администратор сети хочет получить пакеты, поступающие через сетевой интерфейс, он может выбрать полную коллекцию или отфильтрованную коллекцию. Полная коллекция не имеет границ, поэтому все пакеты, пересекающие интерфейс, будут захвачены. Однако при фильтрации пакетов они оцениваются при прохождении через интерфейс, и собираются только определенные пакеты, которые соответствуют определенным критериям. Это позволяет администратору хранить только те типы пакетов, которые ему интересны, или пакеты, отправляемые по определенным адресам. Отфильтрованные коллекции также сохраняют аппаратные ресурсы и могут использоваться для округления пакетов, которые могут понадобиться позже для подтверждения виновности.

Есть много целей для захвата пакета, все из которых вращаются вокруг понятия глубокой проверки пакетов (DPI). По мере получения пакетов они проверяются и анализируются по многим причинам, большинство из которых включают обнаружение вторжений, безопасность и целостность данных или производительность сети, хотя некоторые злонамеренные цели захвата пакетов все же существуют. В результате могут возникнуть серьезные опасения по поводу конфиденциальности при рассмотрении возможности глубокого захвата и проверки пакетов.

Когда необходимо провести процесс анализа, он может произойти немедленно, поскольку пакеты фактически перемещаются через интерфейс, так что программное обеспечение для захвата и проверки пакетов может принимать решения. Кроме того, они могут храниться на жестком диске компьютера неограниченное время. В случае анализа в реальном времени пакеты могут быть оценены только с точки зрения известных проблем безопасности или проблем, тогда как при сборе в хранилище они могут быть проанализированы позже экспертами по криминалистике данных, чтобы помочь определить, когда или как произошло нарушение безопасности.

Есть множество доступных программ захвата пакетов. Некоторые производители сетевого оборудования включают в свои устройства такую ​​возможность, как встроенные функции захвата пакетов в межсетевой операционной системе (IOS), предоставляемые на оборудовании Cisco Systems®. Однако анализаторы пакетов существуют во многих формах, от простого сбора до более детального анализа. Многие из наиболее популярных анализаторов пакетов - это проекты с открытым исходным кодом, такие как Wireshark и WinPcap, которые не только захватывают пакеты, но и выполняют задачи проверки и анализа пакетов. Они часто обновляются разнообразным сообществом, чтобы быть в курсе самых последних проблем безопасности.