Vad är en paketfångst?
Packet Capture är helt enkelt processen att knuffa paketen med data som reser genom ett datornätverk. Med ett normalt paketupptagning samlas endast hjälpdata som finns i paketets rubrik, såsom adressinformationen eller Internetprotokollformatet för paketet. När det gäller djuppaketfångst (DPC) förvärvas hela paketet, både rubrikinformation såväl som den faktiska nyttolasten. Processen kallas också ofta paket Sniffing.
Oavsett vilken metod för paketfångst kan processen äga rum på någon av skikten i de öppna systemen Interconnect (OSI) -modellen ovanför skikt ett, det fysiska skiktet, eftersom det fysiska skiktet bara fungerar med bitar i form av elektriska signaler. Paketupptagning sker inte förrän dessa strömmar av sådana och nollor omvandlas tillbaka till datapaket som sedan kan samlas in. Över ett givet nätverksgränssnitt kan samling endast hända för paket som är avsedda för adressen som tillhörDet gränssnittet såvida inte gränssnittet är konfigurerat för det som kallas promiskuöst läge. Ett nätverksgränssnitt som agerar promiskuöst kan fånga inte bara sina egna paket, utan också de som är avsedda för andra.
När en nätverksadministratör vill skaffa paketen som kommer över ett nätverksgränssnitt har han möjligheten till en komplett samling eller en filtrerad samling. En komplett samling har inga gränser, så alla paket som korsar gränssnittet tar tag i. Vid filtreringspaket utvärderas emellertid när de korsar gränssnittet och endast vissa paket som uppfyller specifika kriterier samlas in. Detta gör det möjligt för administratören att bara lagra de typer av paket han är intresserad av eller paket på väg till vissa adresser. Filtrerade samlingar bevarar också hårdvaruresurser och kan användas för att runda upp paket som kan behövas senare för att bevisa skyldighet.
Det finns många syften bakom paketfångst, som alla handlar om uppfattningen om djup paketinspektion (DPI). När paketen förvärvas inspekteras och analyseras de av många skäl, varav de flesta involverar intrångsdetektering, datasäkerhet och integritet eller nätverksprestanda, även om vissa avskyvärda syften med paketupptagning finns. Som ett resultat kan starka oro över integritet uppstå när man överväger djup paketfångst och inspektion.
När analysprocessen måste äga rum kan det hända omedelbart, eftersom paketen faktiskt rör sig över gränssnittet så att paketets fångst- och inspektionsprogramvara kan fatta beslut. Alternativt kan de förvaras på en dators hårddisk på obestämd tid. När det gäller realtidsanalys kan paketen endast utvärderas mot kända säkerhetsfrågor eller problem, medan när de samlas in i lagring kan de analyseras senare av dataforensikspecialister för att avgöra när eller hur ett säkerhetsbrottinträffade.
Det finns många paketfångstprogram tillgängliga. Vissa nätverkshårdvarutillverkare inkluderar kapaciteten i sina enheter, till exempel de inbyggda paketfångstfunktionerna i Internetwork Operating System (IOS), som tillhandahålls på Cisco Systems®-hårdvara. Paket Sniffers finns i många former, emellertid från enkel insamling till mer detaljerad analys. Många av de mest populära paketniffarna är programvara för öppen källkod som Wireshark och WinPCAP, som inte bara fångar paket, utan också hanterar paketinspektions- och analysuppgifter. De uppdateras ofta av ett mångfaldigt samhälle för att hålla sig à jour med de senaste säkerhetsfrågorna.