Packet Capture: hvad er det, og hvad du har brug for at vide
Packet capture er et vigtigt værktøj, der bruges til at holde netværk, der fungerer sikkert og effektivt. I de forkerte hænder kan det også bruges til at stjæle følsomme data som brugernavne og adgangskoder. I dette indlæg vil vi dykke ind i, hvad en pakkefangst er, hvordan det virker, hvilken slags værktøjer der bruges, og se på nogle eksempler på brugssager.
- Hvad er Packet Capture?
- Hvordan Fungerer Packet Capture?
- Sådan læses en Pakkeoptagelse
- formater, Biblioteker og filtre, Åh min!
- Packet Capture Tools
- Packet Capture and Packet Sniffer Use Cases
- Packet Capture fordele og ulemper
Hvad er Packet Capture?
Packet Capture henviser til handlingen med at fange IP-pakker (Internet Protocol) til gennemgang eller analyse. Udtrykket kan også bruges til at beskrive de filer, der packet capture tools output, som ofte gemmes i .pcap format. Optagelse af pakker er en almindelig fejlfindingsteknik for netværksadministratorer og bruges også til at undersøge netværkstrafik for sikkerhedstrusler. Efter et databrud eller anden hændelse, pakkeoptagelser giver vigtige retsmedicinske spor, der hjælper efterforskningen. Fra en trusselskuespillers perspektiv kan pakkeoptagelser bruges til at stjæle adgangskoder og andre følsomme data. I modsætning til aktive rekognosceringsteknikker som portscanning kan indfangning af pakker udføres uden at efterlade spor for efterforskere.
Hvordan Fungerer Packet Capture?
der er mere end en måde at fange en pakke på! Pakkeoptagelser kan udføres fra et stykke netværksudstyr som en router eller kontakt, fra et dedikeret stykke udstyr kaldet et tryk, fra en analytikers bærbare eller stationære computer og endda fra mobile enheder. Den anvendte tilgang afhænger af slutmålet. Uanset hvilken tilgang der bruges, fungerer packet capture ved at oprette kopier af nogle eller alle pakker, der passerer gennem et givet punkt i netværket.
optagelse af pakker fra din egen maskine er den nemmeste måde at komme i gang på, men der er et par advarsler. Som standard er netværksgrænseflader kun opmærksomme på trafik, der er bestemt til dem. For en mere komplet visning af netværkstrafik skal du sætte grænsefladen i promiskuøs tilstand eller skærmtilstand. Husk, at denne tilgang også fanger en begrænset visning af netværket; på et kablet netværk, for eksempel, vil du kun se trafik på den lokale kontaktport, din maskine er tilsluttet.
på en router eller kontakt, funktioner kendt forskelligt som port spejling, port overvågning og skiftet port analysator (SPAN) tillader netværksadministratorer at duplikere netværkstrafik og sende den til en bestemt port, normalt for at eksportere pakker til en dedikeret overvågningsløsning. Mange afbrydere og routere i virksomhedskvalitet har nu en integreret pakkeoptagelsesfunktion, der kan bruges til hurtigt at fejlfinde lige fra enhedens CLI eller internetgrænseflade. Andre typer netværksudstyr som brandvægge og trådløse adgangspunkter har også ofte pakkeoptagelsesfunktionalitet.
hvis du udfører en pakkeoptagelse på et særligt stort eller travlt netværk, er et dedikeret netværksknap muligvis den bedste mulighed. Vandhaner er den dyreste måde at fange pakker på, men introducerer ingen præstationsstraf, da de er dedikeret udstyr.
Sådan læses en Pakkefangst
for at forstå og analysere en pakkefangst har du brug for en grundlæggende viden om grundlæggende netværkskoncepter, især OSI-modellen. Selvom der kan være forskelle mellem specifikke værktøjer, vil pakkeoptagelser altid bestå af en nyttelast og nogle overskrifter. Nyttelasten består af de faktiske data, der overføres – dette kan være bits af en streamingfilm, e-mails, løsepenge eller noget andet, der krydser et netværk. Pakkehoveder indeholder alle de kritiske oplysninger, der hjælper netværksudstyr med at beslutte, hvad de skal gøre med hver pakke. Det vigtigste er kilde-og destinationsadresserne, men IP-pakker har i alt 14 overskrifter, der dækker alt fra klasse af Service til protokoltype. En professionel netværksanalytiker vil have detaljeret viden om alle disse felter, men en generel forståelse af pakkestruktur er alt, hvad der kræves for at komme i gang med fejlfinding af ydelsesproblemer eller lære mere om, hvordan netværk fungerer.
Version | Header Længde | DSCP værdi | ECN | samlet pakke længde |
identifikation | flag | Fragmentforskydning | ||
tid til at leve (TTL) | protokol | Header Checksum | ||
kilde IP-adresse |
||||
Destination IP-adresse |
||||
valgfri |
bortset fra kilde-og destinationsadresser, nogle af de vigtigste felter fra en fejlfinding perspektiv kan omfatte differentierede tjenester kode punkt (DSCP), flag, og TTL. DSCP bruges til at sikre servicekvalitet og er et vigtigt felt for realtidstrafik som Voice Over IP (VoIP). Flag bruges oftest til at kontrollere pakkefragmentering og kan blive et problem, når en pakke, der har ikke Fragmentflagget, også overstiger den maksimale transmissionsenhed (MTU) størrelse på et netværkslink. TTL værdier er decremented efter hver hop og kan give vigtige spor om en pakke sti gennem netværket.
for ukrypterede typer trafik kan pakkesnusere grave dybere end blot overskrifterne og inspicere den faktiske nyttelast. Dette kan være utroligt nyttigt til fejlfinding af netværksproblemer, men er også et potentielt sikkerhedsproblem, når følsomme data som brugernavne og adgangskoder er til stede. At forstå betydningen bag en pakkes nyttelast kan kræve viden om den anvendte protokol.
Pakkeoptagelse og netværksanalyseapplikationer inkluderer ofte værktøjer til at filtrere, visualisere og inspicere store mængder data. Disse værktøjer giver mulighed for analyse, der ikke er mulig gennem manuel inspektion af en pakkefangst. Capture-filer kan også føres ind i et Intrusion Detection System/Protection Systems (IDS / IPS), Security Information and Event Management System (SIEM) eller andre typer sikkerhedsprodukter for at se efter tegn på et angreb eller databrud.
formater, Biblioteker og filtre, Åh min!
når det kommer til pakkeoptagelser, er der en række relaterede terminologier, der kan blive forvirrende ret hurtigt. Lad os nedbryde nogle af de mest almindelige og vigtige udtryk, du måske hører:
Pakkeoptagelsesformater
mens pakkeoptagelsesværktøjer som f.eks. Disse filer kan gemmes i en række forskellige formater. .pcap-filer er de mest almindelige og er generelt kompatible med en bred vifte af netværksanalysatorer og andre værktøjer. .pcapng bygger på det enkle .pcap-format med nye felter og funktioner og er nu standardformatet, når du gemmer filer. Nogle kommercielle værktøjer kan også bruge proprietære formater.
biblioteker
biblioteker som libpcap, vinpcap og npcap er de rigtige stjerner i pakkeoptagelsesvisningen, der tilslutter sig et operativsystems netværksstak og giver mulighed for at kigge ind i pakker, der bevæger sig mellem grænseflader. Mange af disse biblioteker er open source-projekter, så du kan finde dem i en lang række både kommercielle og gratis pakkeoptagelsesværktøjer. I nogle tilfælde skal du muligvis installere biblioteket separat fra værktøjet.
filtrering
fuld pakkeoptagelse kan tage en hel del plads og kræve flere ressourcer fra indfangningsenheden. Det er også overkill i de fleste tilfælde – de mest interessante oplysninger er typisk kun en lille del af den samlede trafik, der observeres. Pakkeoptagelser filtreres ofte for at udrydde de relevante oplysninger. Dette kan være baseret på alt fra nyttelast til IP-adresse til en kombination af faktorer.
Packet Capture Tools
et stort antal forskellige værktøjer er tilgængelige til at fange og analysere pakkerne, der krydser dit netværk. Disse er undertiden kendt som pakke sniffere. Her er nogle af de mest populære:
Trådbark
indbegrebet pakke værktøj, Trådbark er go-to packet capture værktøj for mange netværksadministratorer, sikkerhedsanalytikere og amatør nørder. Med en simpel GUI og masser af funktioner til sortering, analyse og følelse af trafik kombinerer vi brugervenlighed og kraftfulde funktioner. Pakken indeholder også et kommandolinjeværktøj kaldet tshark.
tcpdump
letvægts, alsidig, og forudinstalleret på mange unikke operativsystemer, tcpdump er en CLI junkie drøm, når det kommer til pakkeoptagelser. Dette opensource-værktøj kan hurtigt fange pakker til senere analyse i værktøjer som Ledbark, men har masser af sine egne kommandoer og kontakter for at give mening om store summer af netværksdata.
solvind netværks Performance Monitor
dette Kommercielle værktøj har længe været en favorit for dets brugervenlighed, visualiseringer og evne til at klassificere trafik efter applikation. Selvom værktøjet kun installeres på vinduer platforme, kan det snuse og analysere trafik fra enhver type enhed.
ColaSoft Capsa
ColaSoft laver en kommerciel pakkesniffer rettet mod virksomhedskunder, men tilbyder også en pareret udgave rettet mod studerende og dem, der lige kommer i netværk. Værktøjet kan prale af en række overvågningsfunktioner, der hjælper med fejlfinding og analyse i realtid.
Kismet
Kismet er et værktøj dedikeret til at fange trådløs trafik og opdage trådløse netværk og enheder. Dette værktøj understøtter en bred vifte af optagekilder, herunder Bluetooth-og Sikbeeradioer. Med den rigtige opsætning kan du fange pakker fra alle enheder på netværket.
Packet Capture og Packet Sniffer Use Cases
mens udtrykket pakke Sniffer kan fremkalde billeder af hackere, der skjult tapper ind i følsom kommunikation, der er masser af legitime anvendelser til en pakke sniffer. Følgende er nogle typiske brugssager til pakkesnusere:
Aktivopdagelse/passiv rekognoscering
pakker af deres natur inkluderer kilde-og destinationsadresser, så en pakkeoptagelse kan bruges til at opdage aktive slutpunkter på et givet netværk. Med nok data er det endda muligt at fingeraftryk endepunkterne. Når det gøres til legitime forretningsformål, kaldes dette opdagelse eller opgørelse. Den passive karakter af en pakkefangst gør det imidlertid til en glimrende måde for ondsindede angribere at indsamle information til yderligere faser af et angreb. Selvfølgelig kan den samme teknik bruges af red teamers, der tester en organisations sikkerhed
fejlfinding
ved fejlfinding af netværksproblemer kan inspektion af den faktiske netværkstrafik være det mest effektive middel til at indsnævre årsagen til et problem. Pakkesnusere giver netværksadministratorer og ingeniører mulighed for at se indholdet af pakker, der krydser netværket. Dette er en vigtig funktion ved fejlfinding af grundlæggende netværksprotokoller som DHCP, ARP og DNS. Pakkeoptagelser afslører dog ikke indholdet af krypteret netværkstrafik.
Sniffing pakker kan hjælpe med at kontrollere, at trafikken tager den korrekte sti på tværs af netværket, og bliver behandlet med den korrekte forrang. Et overbelastet eller ødelagt netværkslink er ofte let at få øje på i en pakkefangst, fordi kun den ene side af en typisk tosidet samtale vil være til stede. Forbindelser med et stort antal forsøg eller tabte pakker er ofte tegn på et overbrugt link eller svigtende netværksudstyr.
Intrusion Detection
mistænkelig netværkstrafik kan gemmes som pakkeoptagelse og føres ind i en IDS -, IPS-eller SIEM-løsning til yderligere analyse. Angribere går meget langt for at blande sig med normal netværkstrafik, men en omhyggelig inspektion kan afdække skjult trafik. Kendte ondsindede IP-adresser, afslørende nyttelast, og andre minut detaljer kan alle være tegn på et angreb. Selv noget så uskadeligt som en DNS-anmodning, hvis det gentages med et regelmæssigt interval, kan være et tegn på et kommando-og kontrolfyr.
Incident Response and Forensics
Pakkeoptagelser giver en unik mulighed for incident responders. Angribere kan tage skridt til at dække deres spor på slutpunkter, men de kan ikke sende pakker, der allerede har krydset et netværk. Uanset om det er ondsindet program, dataudfiltrering eller en anden type hændelse, kan pakkeoptagelser ofte se tegn på et angreb, som andre sikkerhedsværktøjer savner. Da en pakkehoved altid vil indeholde både en kilde-og destinationsadresse, kan hændelsesresponsteams bruge pakkeoptagelser til at spore en angribers sti gennem netværket eller få øje på tegn på, at data bliver eksfiltreret ud af netværket.
Packet Capture fordele og ulemper
som allerede nævnt er pakkeoptagelser et enormt aktiv for netværksadministratorer og sikkerhedshold. De er dog ikke den eneste mulighed for at overvåge netværkstrafik, og der kan være tilfælde, hvor ting som SNMP eller netstrøm er bedre valg. Her er et kig på nogle af fordelene og ulemperne ved at bruge pakkeoptagelser:
fordel: mest komplette kig på netværkstrafik
Pakkeoptagelse er pr. Det er derfor det mest grundige kig på netværkstrafik mulig. Pakkeoptagelser indeholder et stort detaljeringsniveau, der ikke er tilgængeligt i andre overvågningsløsninger, herunder komplet nyttelast, alle IP-overskriftsfelter og i mange tilfælde endda oplysninger om capture-grænsefladen. Dette kan gøre fange den eneste levedygtige løsning i tilfælde, hvor masser af detaljer er påkrævet.
fordel: kan gemmes til yderligere analyse
Pakkeoptagelser kan gemmes til yderligere analyse eller inspektion i industristandard .pcap og .pcapng formater. Dette tillader for eksempel mistænkelig trafik at blive gemt af en netværksingeniør og derefter senere gennemgået af en sikkerhedsanalytiker. En lang række værktøjer understøtter dette format, herunder sikkerhedsanalyseværktøjer. Det er også muligt at gemme en pakke capture bestående af flere timers værd af data og gennemgå det på et senere tidspunkt.
fordel: udstyr agnostiker
SNMP og netstrøm kræver begge support på netværksmaterielniveau. Mens begge teknologier nyder bred støtte, er de ikke universelt tilgængelige. Der kan også være forskelle i, hvordan hver leverandør implementerer dem. Packet capture kræver på den anden side ikke specialiseret udstyrsstøtte og kan finde sted fra enhver enhed, der har adgang til netværket.
ulempe: store filstørrelser
fuld pakkeoptagelse kan tage store mængder diskplads – i nogle tilfælde op til 20 gange så meget plads som andre muligheder. Selv når filtrering anvendes, kan en enkelt capture-fil tage op mange gigabyte lagerplads. Dette kan gøre pakkeoptagelser uegnede til langtidsopbevaring. Disse store filstørrelser kan også resultere i lange ventetider, når du åbner en .pcap i et netværksanalyseværktøj.
ulempe: for meget Information
mens pakkeoptagelser giver et meget komplet kig på netværkstrafik, er de ofte for omfattende. Relevante oplysninger kan ofte gå tabt i store mængder data. Analyseværktøjer har funktioner ordre, sortere og filtrere capture-filer, men mange brugssager kan være bedre tjent med andre muligheder. Det er ofte muligt at fejlfinde et netværk eller få øje på tegn på et angreb med kun de opsummerede versioner af netværkstrafik, der er tilgængelige i andre overvågningsløsninger. En almindelig tilgang er at bruge en teknologi som netstrøm til at overvåge al trafik og henvende sig til en fuld pakkeoptagelse efter behov.
ulempe: faste felter
de seneste iterationer af netstrøm giver mulighed for tilpassede poster, hvilket betyder, at netværksadministratorer kan vælge, hvilke oplysninger de skal fange. Da en pakkeoptagelse er baseret på den eksisterende struktur af en IP-pakke, er der ikke plads til tilpasning. Dette er muligvis ikke et problem, men igen afhængigt af brugssagen er der muligvis ikke behov for at fange alle felter i en IP-pakke.
konklusion
Pakkeoptagelse er uvurderlig ud fra et fejlfindings-og sikkerhedsperspektiv, men bør aldrig være det eneste værktøj, som en netværksadministrator eller sikkerhedsingeniør er afhængig af. Den øgede brug af kryptering til både legitime og illegitime formål begrænser effektiviteten af værktøjer som f.eks. Pakkeoptagelser giver heller ikke incident responders meget af en ide om, hvilke handlinger der har fundet sted på en vært. Filer kunne have været ændret, processer skjult, og nye brugerkonti oprettet uden at generere en enkelt pakke. Varonis-Databeskyttelsesplatformen giver en data-centreret visning af din organisation, der kan få øje på trusler, der ikke opdages i netværket. Som altid skal du sørge for at anvende dybdegående og bedste praksis i dit netværk. Og når du er klar til at tilføje Varonis til dit supplement af sikkerhedsværktøjer, planlægge en en-til-en demo!