zachycení paketů: co je to a co potřebujete vědět
zachycení paketů je životně důležitý nástroj používaný k udržení bezpečného a efektivního provozu sítí. Ve špatných rukou může být také použit k odcizení citlivých dat, jako jsou uživatelská jména a hesla. V tomto příspěvku se ponoříme do toho, co je zachycení paketů, jak to funguje, jaké nástroje se používají, a podíváme se na některé ukázkové případy použití.
- co je zachycení paketů?
- Jak Funguje Zachycení Paketů?
- jak číst zachycení paketů
- formáty, Knihovny a filtry, Ach můj!
- nástroje pro zachycení paketů
- případy zachycení paketů a Snifferů použití
- výhody a nevýhody zachycení paketů
co je zachycení paketů?
zachycení paketů se týká akce zachycení paketů internetového protokolu (IP) pro kontrolu nebo analýzu. Termín může být také použit k popisu souborů, které paket capture tools výstup, které jsou často uloženy v.formát pcap. Zachycení paketů je běžnou technikou řešení problémů pro správce sítě a používá se také ke zkoumání síťového provozu na bezpečnostní hrozby. Po narušení dat nebo jiném incidentu, zachycení paketů poskytuje zásadní forenzní stopy, které pomáhají při vyšetřování. Z pohledu aktéra hrozby by paketové snímky mohly být použity k odcizení hesel a dalších citlivých dat. Na rozdíl od aktivních průzkumných technik, jako je skenování portů, zachycení paketů lze provést bez zanechání stopy pro vyšetřovatele.
Jak Funguje Zachycení Paketů?
existuje více než jeden způsob, jak chytit balíček! Paket zachytí lze provést z kusu síťového zařízení, jako je směrovač nebo přepínač, z vyhrazeného kusu hardwaru zvaného kohoutek, z notebooku nebo stolního počítače analytika a dokonce i z mobilních zařízení. Použitý přístup závisí na konečném cíli. Bez ohledu na to, jaký přístup se používá, paket capture funguje tak, že vytváří kopie některých nebo všech paketů procházejících daným bodem v síti.
zachycení paketů z vlastního počítače je nejjednodušší způsob, jak začít, ale existuje několik upozornění. Ve výchozím nastavení síťová rozhraní věnují pozornost pouze provozu určenému pro ně. Pro úplnější zobrazení síťového provozu budete chtít rozhraní uvést do promiskuitního režimu nebo režimu monitoru. Mějte na paměti, že tento přístup také zachytí omezený pohled na síť; například v kabelové síti uvidíte provoz pouze na místním portu přepínače, ke kterému je počítač připojen.
na routeru nebo přepínači umožňují funkce známé jako zrcadlení portů, monitorování portů a analyzátor přepínaných portů (SPAN) správcům sítě duplikovat síťový provoz a odeslat jej na určený port, obvykle exportovat pakety do vyhrazeného monitorovacího řešení. Mnoho přepínačů a směrovačů podnikové třídy má nyní vestavěnou funkci zachycení paketů, kterou lze použít k rychlému řešení problémů přímo z CLI nebo webového rozhraní zařízení. Jiné typy síťových zařízení, jako jsou brány firewall a bezdrátové přístupové body, mají také běžně funkci zachycení paketů.
pokud provádíte zachycení paketů na obzvláště velké nebo zaneprázdněné síti, může být nejlepší volbou klepnutí na vyhrazenou síť. Kohoutky jsou nejdražší způsob, jak zachytit pakety, ale zavést žádný výkon trest, protože jsou vyhrazené hardware.
jak číst zachycení paketů
abyste pochopili a analyzovali zachycení paketů, budete potřebovat základní znalosti základních síťových konceptů, zejména modelu OSI. I když mohou existovat rozdíly mezi konkrétními nástroji, zachycení paketů bude vždy sestávat z užitečného zatížení a některých záhlaví. Užitečné zatížení se skládá ze skutečných přenášených dat – mohou to být kousky streamovaného filmu – e-maily, ransomware nebo cokoli jiného, co prochází sítí. Hlavičky paketů obsahují všechny důležité informace, které pomáhají síťovým zařízením rozhodnout, co dělat s každým paketem. Nejdůležitější jsou zdrojové a cílové adresy, ale IP pakety mají celkem 14 záhlaví pokrývající vše od třídy služby Po typ protokolu. Profesionální síťový analytik bude mít podrobné znalosti o všech těchto oblastech, ale obecné pochopení struktury paketů je vše, co potřebujete, abyste mohli začít řešit problémy s výkonem nebo se dozvědět více o tom, jak sítě fungují.
| verze | Délka záhlaví | hodnota DSCP | ECN | Celková délka paketu |
| identifikace | příznaky | posun fragmentu | ||
| čas do života (TTL) | protokol | kontrolní součet záhlaví | ||
|
zdrojová IP adresa |
||||
|
Cílová IP adresa |
||||
|
Volitelné |
||||
kromě zdrojových a cílových adres jsou některé z nejdůležitějších polí z řešení problémů perspektiva může zahrnovat diferencované služby Code Point (DSCP), vlajky a TTL. DSCP se používá k zajištění kvality služeb (QoS) a je důležitým polem pro provoz v reálném čase, jako je Voice over IP (VoIP). Příznaky se nejčastěji používají k řízení fragmentace paketů a mohou se stát problémem, když paket, který má příznak don ‚ t Fragment, také překročí maximální velikost přenosové jednotky (MTU) síťového spojení. Hodnoty TTL jsou po každém hopu sníženy a mohou poskytnout důležité stopy o cestě paketu přes síť.
u nešifrovaných typů provozu mohou čichači paketů kopat hlouběji než jen záhlaví a kontrolovat skutečné užitečné zatížení. To může být neuvěřitelně užitečné pro řešení problémů se sítí, ale je to také potenciální bezpečnostní problém, pokud jsou přítomna citlivá data, jako jsou uživatelská jména a hesla. Pochopení významu užitečného zatížení paketu může vyžadovat znalost používaného protokolu.
aplikace pro sběr paketů a analýzu sítě často obsahují nástroje pro filtrování, vizualizaci a kontrolu velkého množství dat. Tyto nástroje umožňují analýzu, která není možná ruční kontrolou zachycení paketů. Zachycení soubory mohou být také přiváděny do systému detekce narušení / systémy ochrany (IDS / IPS), bezpečnostní informace a systém řízení událostí (SIEM), nebo jiné typy bezpečnostních produktů hledat známky útoku nebo porušení dat.
formáty, Knihovny a filtry, Ach můj!
pokud jde o zachycení paketů, existuje řada souvisejících terminologií, které mohou být matoucí poměrně rychle. Pojďme rozebrat některé z nejběžnějších a nejdůležitějších pojmů, které můžete slyšet:
formáty pro zachycení paketů
zatímco nástroje pro zachycení paketů, jako je Wireshark, lze použít ke kontrole provozu v reálném čase, je častější ukládat snímky do souboru pro pozdější analýzu. Tyto soubory lze uložit v různých formátech. .pcap soubory jsou nejběžnější a jsou obecně kompatibilní s širokou škálou síťových analyzátorů a dalších nástrojů. .pcapng staví na jednoduchém .formát pcap s novými poli a schopnostmi a je nyní výchozím formátem při ukládání souborů do Wireshark. Některé komerční nástroje mohou také používat proprietární formáty.
knihovny
knihovny jako libpcap, winpcap a npcap jsou skutečnými hvězdami pořadu zachycení paketů, které se připojují k síťovému zásobníku operačního systému a poskytují schopnost nahlížet do paketů pohybujících se mezi rozhraními. Mnoho z těchto knihoven jsou open-source projekty, takže je můžete najít v široké škále komerčních i bezplatných nástrojů pro zachycení paketů. V některých případech může být nutné nainstalovat knihovnu odděleně od nástroje.
filtrování
úplné zachycení paketů může trvat poměrně málo místa a vyžadovat více zdrojů ze zachycovacího zařízení. Ve většině případů je to také přehnané-nejzajímavější informací je obvykle jen malá část celkového provozu. Zachycení paketů je často filtrováno, aby se odstranily relevantní informace. To může být založeno na všem, od užitečného zatížení po IP adresu až po kombinaci faktorů.
nástroje pro zachycení paketů
k zachycení a analýze paketů procházejících vaší sítí je k dispozici velké množství různých nástrojů. Tito jsou někdy známí jako sniffers paketů. Zde jsou některé z nejpopulárnějších:
Wireshark
typický nástroj paketů, Wireshark je nástroj pro zachycení paketů pro mnoho správců sítě, bezpečnostních analytiků a amatérských geeků. Díky jednoduchému GUI a spoustě funkcí pro třídění, analýzu a smysl provozu kombinuje Wireshark snadné použití a výkonné funkce. Balíček Wireshark také obsahuje nástroj příkazového řádku nazvaný tshark.
tcpdump
lehký, všestranný a předinstalovaný na mnoha unixových operačních systémech je tcpdump splněným snem CLI junkie, pokud jde o zachycení paketů. Tento opensource nástroj může rychle zachytit pakety pro pozdější analýzu v nástrojích, jako je Wireshark, ale má spoustu vlastních příkazů a přepínačů, aby smysl obrovské sumy síťových dat.
SolarWinds Network Performance Monitor
Tento komerční nástroj je již dlouho oblíbený pro své snadné použití, vizualizace a schopnost klasifikovat provoz podle aplikace. Přestože se nástroj instaluje pouze na platformách Windows, může čichat a analyzovat provoz z jakéhokoli typu zařízení.
Colasoft Capsa
ColaSoft dělá komerční Sniffer paketů zaměřený na podnikové zákazníky, ale také nabízí redukovanou edici zaměřenou na studenty a ty, kteří se právě dostávají do sítí. Nástroj se může pochlubit řadou monitorovacích funkcí, které pomáhají při řešení problémů a analýze v reálném čase.
Kismet
Kismet je nástroj věnovaný zachycení bezdrátového provozu a detekci bezdrátových sítí a zařízení. Tento nástroj, který je k dispozici pro platformy Linux, Mac a Windows, podporuje širokou škálu zdrojů snímání, včetně rádií Bluetooth a Zigbee. Se správným nastavením můžete zachytit pakety ze všech zařízení v síti.
případy zachycení paketů a použití paketů
zatímco termín paket Sniffer může vykouzlit obrazy hackerů, kteří tajně pronikají do citlivé komunikace, existuje spousta legitimních použití pro sniffer paketů. Níže jsou uvedeny některé typické případy použití pro paketové sniffery:
Asset Discovery / pasivní průzkum
pakety ze své podstaty zahrnují zdrojové a cílové adresy, takže zachycení paketů může být použito k nalezení aktivních koncových bodů v dané síti. S dostatkem dat je dokonce možné otisknout koncové body. Pokud se provádí pro legitimní obchodní účely, nazývá se to objev nebo inventář. Pasivní povaha zachycení paketů z něj však činí vynikající způsob, jak škodliví útočníci shromažďovat informace pro další fáze útoku. Stejnou techniku mohou samozřejmě použít red teamers, kteří testují zabezpečení organizace
řešení problémů
při řešení problémů se sítí může být kontrola skutečného síťového provozu nejúčinnějším prostředkem zúžení hlavní příčiny problému. Packet sniffers umožňují správcům sítě a inženýrům zobrazit obsah paketů procházejících sítí. Toto je základní funkce při odstraňování základních síťových protokolů, jako jsou DHCP, ARP a DNS. Zachycení paketů však neodhalí obsah šifrovaného síťového provozu.
čichání paketů může pomoci ověřit, že provoz se ubírá správnou cestou v síti a je s ním zacházeno se správnou prioritou. Přetížené nebo nefunkční síťové spojení je často snadno rozpoznatelné při zachycení paketů, protože bude přítomna pouze jedna strana typicky oboustranné konverzace. Spojení s velkým počtem opakování nebo vynechaných paketů často svědčí o nadužívaném odkazu nebo selhání síťového hardwaru.
detekce narušení
podezřelý síťový provoz lze uložit jako zachycení paketů a vložit do řešení IDS, IPS nebo SIEM pro další analýzu. Útočníci se snaží splynout s běžným síťovým provozem, ale pečlivá kontrola může odhalit skrytý provoz. Známé škodlivé IP adresy, výmluvné užitečné zatížení, a další drobné podrobnosti mohou svědčit o útoku. Dokonce i něco tak neškodného jako požadavek DNS, pokud se opakuje v pravidelných intervalech, by mohlo být znamením velitelského a řídicího majáku.
reakce na incidenty a forenzní analýza
paketové zachycení poskytují jedinečnou příležitost pro respondenty. Útočníci mohou podniknout kroky, aby zakryli své stopy na koncových bodech, ale nemohou odposlat pakety, které již prošly sítí. Ať už se jedná o malware, exfiltraci dat nebo nějaký jiný typ incidentu, zachycení paketů může často zaznamenat známky útoku, který ostatní bezpečnostní nástroje chybí. Vzhledem k tomu, že hlavička paketů bude vždy obsahovat jak zdrojovou, tak cílovou adresu, mohou týmy pro reakci na incidenty použít zachycení paketů ke sledování cesty útočníka přes síť nebo ke zjištění známek exfiltrace dat ze sítě.
výhody a nevýhody zachycení paketů
jak již bylo uvedeno, zachycení paketů je obrovským přínosem pro správce sítě a bezpečnostní týmy. Nejsou však jedinou možností pro monitorování síťového provozu a mohou existovat případy, kdy jsou věci jako SNMP nebo NetFlow lepší volbou. Zde je pohled na některé z výhod a nevýhod používání paketů zachytí:
výhoda: nejúplnější pohled na síťový provoz
paket capture je ze své podstaty duplicitní kopie skutečných paketů procházejících síť nebo síťové spojení. Jedná se tedy o nejdůkladnější pohled na síťový provoz. Zachycení paketů obsahuje velkou úroveň detailů, které nejsou k dispozici v jiných monitorovacích řešeních, včetně úplného užitečného zatížení, všech polí záhlaví IP a v mnoha případech i informací o rozhraní pro zachycení. To může zachytit jediné životaschopné řešení v případech, kdy je vyžadováno mnoho detailů.
výhoda: lze uložit pro další analýzu
paketové snímky lze uložit pro další analýzu nebo kontrolu v průmyslovém standardu .pcap a .formáty pcapng. To například umožňuje uložit podezřelý provoz síťovým inženýrem a později jej zkontrolovat bezpečnostním analytikem. Tento formát podporuje široká škála nástrojů, včetně nástrojů pro analýzu zabezpečení. Je také možné uložit zachycení paketů skládající se z několika hodin dat a později je zkontrolovat.
výhoda: hardwarová agnostika
SNMP i NetFlow vyžadují podporu na úrovni síťového hardwaru. Obě technologie se sice těší široké podpoře, ale nejsou všeobecně dostupné. Mohou také existovat rozdíly v tom, jak je každý prodejce implementuje. Zachycení paketů na druhé straně nevyžaduje specializovanou hardwarovou podporu a může probíhat z jakéhokoli zařízení, které má přístup k síti.
nevýhoda: velké velikosti souborů
úplné zachycení paketů může zabírat velké množství místa na disku – v některých případech až 20krát více místa než jiné možnosti. Dokonce i když je použito filtrování, může jeden soubor zachytit mnoho gigabajtů úložiště. To může způsobit, že zachycení paketů nebude vhodné pro dlouhodobé ukládání. Tyto velké velikosti souborů může také vést k dlouhé čekací doby při otevření .pcap v nástroji pro analýzu sítě.
nevýhoda: příliš mnoho informací
zatímco zachycení paketů poskytuje velmi úplný pohled na síťový provoz, jsou často příliš komplexní. Relevantní informace se často mohou ztratit v obrovských množstvích dat. Analytické nástroje mají funkce pořadí, třídění a filtrování souborů, ale mnoho případů použití může být lépe obsluhováno jinými možnostmi. Často je možné řešit síťové nebo bodové známky útoku pouze se shrnutými verzemi síťového provozu dostupnými v jiných monitorovacích řešeních. Jedním z běžných přístupů je použití technologie, jako je NetFlow, ke sledování veškerého provozu a podle potřeby k úplnému zachycení paketů.
nevýhoda: pevná pole
nejnovější iterace NetFlow umožňují přizpůsobitelné záznamy, což znamená, že správci sítě si mohou vybrat, jaké informace mají zachytit. Vzhledem k tomu, že zachycení paketů je založeno na existující struktuře paketu IP, není zde prostor pro přizpůsobení. To nemusí být problém, ale opět v závislosti na případu použití nemusí být nutné zachytit všechna pole IP paketu.
závěr
zachycení paketů je neocenitelné z hlediska řešení problémů a zabezpečení, ale nikdy by nemělo být jediným nástrojem, na který se správce sítě nebo bezpečnostní inženýr spoléhá. Zvýšené používání šifrování pro legitimní i nelegitimní účely omezuje účinnost nástrojů, jako je Wireshark. Paketové zachytí také nedávají incidentu respondenti hodně představu o tom, jaké akce se odehrály na hostiteli. Soubory mohly být upraveny, procesy skryté, a nové uživatelské účty vytvořené bez generování jediného paketu. Platforma pro ochranu dat Varonis poskytuje pohled na vaši organizaci zaměřený na data, který dokáže odhalit hrozby, které se v síti nezjišťují. Jako vždy, ujistěte se, že ve vaší síti používáte hloubkovou obranu a osvědčené postupy. A až budete připraveni přidat Varonis do svého doplňku bezpečnostních nástrojů, Naplánujte si individuální demo!