Vad är en paketfångst?
Paketupptagning är helt enkelt processen att knäppa paketen med data som reser genom ett datornätverk. Med en normal paketinsamling samlas bara de extra data som finns i ett pakethuvud, såsom adressinformation eller Internet Protocol (IP) -format för paketet. När det gäller djup paketinsamling (DPC) förvärvas hela paketet, såväl rubrikinformation som den faktiska datolastbelastningen. Processen benämns också ofta paket snifning.
Oavsett vilken metod för paketupptagning kan processen ske på vilket som helst av skikten i OSI-modellen (open systems interconnect) ovanför lag ett, det fysiska lagret, eftersom det fysiska lagret bara fungerar med bitar i form av elektriska signaler. Paketupptagning sker inte förrän dessa strömmar av nollor och nollor konverteras tillbaka till datapaket som sedan kan samlas in. Över vilket givet nätverksgränssnitt som helst kan insamling bara ske för paket avsedda för adressen som tillhör det gränssnittet såvida inte gränssnittet är konfigurerat för det som kallas promiskuös läge. Ett nätverksgränssnitt agerar promiskuöst kan fånga inte bara sina egna paket utan också de som är avsedda för andra.
När en nätverksadministratör vill skaffa paketen som kommer över ett nätverksgränssnitt, har han möjlighet att en komplett samling eller en filtrerad samling. En komplett samling har inga gränser, så alla paket som korsar gränssnittet greps. Vid filtrering av paket utvärderas de emellertid eftersom de går över gränssnittet och endast vissa paket som uppfyller specifika kriterier samlas in. Detta tillåter administratören att bara lagra de typer av paket han är intresserad av eller paket på väg till vissa adresser. Filtrerade samlingar sparar också hårdvara resurser och kan användas för att runda upp paket som kan behövas senare för att bevisa skyldighet.
Det finns många syften bakom paketinsamling, som alla handlar om tanken på djup paketinspektion (DPI). När paket förvärvas inspekteras och analyseras de av många skäl, varav de flesta involverar intrångsdetektering, datasäkerhet och integritet, eller nätverksprestanda, även om det finns några besvärliga syften med paketupptagning. Som ett resultat kan starka oro över sekretess uppstå när man överväger djup paketinsamling och inspektion.
När analysprocessen måste äga rum kan det hända omedelbart eftersom paketen faktiskt rör sig över gränssnittet så att paketupptagning och inspektionsprogramvara kan fatta beslut. Alternativt kan de lagras på en dators hårddisk på obestämd tid. Vid realtidsanalys kan paketen endast utvärderas mot kända säkerhetsproblem eller problem, medan de kan samlas in i lagring senare av specialister på datatekniker för att avgöra när eller hur ett säkerhetsbrott inträffade.
Det finns många paketupptagningsprogram tillgängliga. Vissa tillverkare av nätverkshårdvara inkluderar kapaciteten i sina enheter, till exempel de inbyggda paketfångsfunktionerna i Internetwork-operativsystemet (IOS), som finns på Cisco Systems®-hårdvara. Packet sniffers finns i många former, men från enkel samling till mer detaljerad analys. Många av de mest populära paketsnifferna är programvaruprojekt med öppen källkod som Wireshark och WinPcap, som inte bara fångar paket, utan också hanterar paketinspektions- och analysuppgifter. De uppdateras ofta av ett brett samhälle för att hålla sig à jour med de senaste säkerhetsproblemen.