Paketerfassung: Was ist das und was Sie wissen müssen
Die Paketerfassung ist ein wichtiges Werkzeug, um Netzwerke sicher und effizient zu betreiben. In den falschen Händen kann es auch verwendet werden, um sensible Daten wie Benutzernamen und Passwörter zu stehlen. In diesem Beitrag werden wir uns damit befassen, was eine Paketerfassung ist, wie sie funktioniert, welche Art von Tools verwendet werden und einige Anwendungsbeispiele betrachten.
- Was ist Paketerfassung?
- Wie funktioniert die Paketerfassung?
- Lesen einer Paketerfassung
- Formate, Bibliotheken und Filter, oh mein Gott!
- Packet Capture Tools
- Packet Capture und Packet Sniffer Anwendungsfälle
- Packet Capture Vor- und Nachteile
Was ist Packet Capture?
Paketerfassung bezieht sich auf die Aktion zum Erfassen von IP-Paketen (Internet Protocol) zur Überprüfung oder Analyse. Der Begriff kann auch verwendet werden, um die Dateien zu beschreiben, die Paketerfassungstools ausgeben, die häufig in der .pcap-Format. Das Erfassen von Paketen ist eine gängige Fehlerbehebungstechnik für Netzwerkadministratoren und wird auch verwendet, um den Netzwerkverkehr auf Sicherheitsbedrohungen zu untersuchen. Nach einer Datenverletzung oder einem anderen Vorfall liefern Paketerfassungen wichtige forensische Hinweise, die die Ermittlungen unterstützen. Aus Sicht eines Bedrohungsakteurs können Paketerfassungen verwendet werden, um Kennwörter und andere sensible Daten zu stehlen. Im Gegensatz zu aktiven Aufklärungstechniken wie Port-Scanning kann das Erfassen von Paketen durchgeführt werden, ohne Spuren für die Ermittler zu hinterlassen.
Wie funktioniert Packet Capture?
Es gibt mehr als eine Möglichkeit, ein Paket zu fangen! Paketerfassungen können von einem Netzwerkgerät wie einem Router oder Switch, von einer dedizierten Hardware namens Tap, vom Laptop oder Desktop eines Analysten und sogar von mobilen Geräten aus erfolgen. Der verwendete Ansatz hängt vom Endziel ab. Unabhängig davon, welcher Ansatz verwendet wird, funktioniert die Paketerfassung, indem Kopien einiger oder aller Pakete erstellt werden, die einen bestimmten Punkt im Netzwerk durchlaufen.
Das Erfassen von Paketen von Ihrem eigenen Computer ist der einfachste Weg, um loszulegen, es gibt jedoch einige Einschränkungen. Standardmäßig achten Netzwerkschnittstellen nur auf den für sie bestimmten Datenverkehr. Für eine vollständigere Ansicht des Netzwerkverkehrs sollten Sie die Schnittstelle in den Promiscuous-Modus oder den Monitor-Modus versetzen. Beachten Sie, dass dieser Ansatz auch eine eingeschränkte Ansicht des Netzwerks erfasst; In einem kabelgebundenen Netzwerk sehen Sie beispielsweise nur den Datenverkehr auf dem lokalen Switch-Port, mit dem Ihr Computer verbunden ist.
Auf einem Router oder Switch ermöglichen Funktionen, die als Port Mirroring, Port Monitoring und Switched Port Analyzer (SPAN) bekannt sind, Netzwerkadministratoren, den Netzwerkverkehr zu duplizieren und an einen bestimmten Port zu senden, normalerweise um Pakete an eine dedizierte Überwachungslösung zu exportieren. Viele Switches und Router der Enterprise-Klasse verfügen jetzt über eine integrierte Paketerfassungsfunktion, mit der Sie direkt über die CLI oder die Weboberfläche des Geräts schnell Fehler beheben können. Andere Arten von Netzwerkgeräten wie Firewalls und Wireless Access Points verfügen häufig auch über Paketerfassungsfunktionen.
Wenn Sie eine Paketerfassung in einem besonders großen oder stark ausgelasteten Netzwerk durchführen, ist ein dedizierter Netzwerk-Tap möglicherweise die beste Option. Taps sind die teuerste Methode zum Erfassen von Paketen, verursachen jedoch keine Leistungseinbußen, da es sich um dedizierte Hardware handelt.
Lesen einer Paketerfassung
Um eine Paketerfassung zu verstehen und zu analysieren, benötigen Sie grundlegende Kenntnisse der grundlegenden Netzwerkkonzepte, insbesondere des OSI-Modells. Obwohl es Unterschiede zwischen bestimmten Tools geben kann, bestehen Paketerfassungen immer aus einer Nutzlast und einigen Headern. Die Nutzlast besteht aus den tatsächlich übertragenen Daten – dies können Teile eines Streaming-Films, E-Mails, Ransomware oder irgendetwas anderes sein, das ein Netzwerk durchquert. Paketheader enthalten alle wichtigen Informationen, die Netzwerkgeräten bei der Entscheidung helfen, was mit jedem Paket geschehen soll. Am wichtigsten sind die Quell- und Zieladressen, aber IP-Pakete haben insgesamt 14 Header, die alles von der Dienstklasse bis zum Protokolltyp abdecken. Ein professioneller Netzwerkanalyst verfügt über detaillierte Kenntnisse in all diesen Bereichen, aber ein allgemeines Verständnis der Paketstruktur reicht aus, um mit der Fehlerbehebung von Leistungsproblemen zu beginnen oder mehr über die Funktionsweise von Netzwerken zu erfahren.
Version | Headerlänge | DSCP-Wert | ECN | Gesamtpaketlänge |
Identifikation | Flags | Fragment-Offset | ||
Zeit zu Leben (TTL) | Protokoll | Header Prüfsumme | ||
Quell-IP-Adresse |
||||
Ziel-IP-Adresse |
||||
Optional |
Neben Quell- und Zieladressen sind einige der wichtigsten Felder aus einer dies kann DSCP (Differentiated Services Code Point), Flags und TTL umfassen. DSCP wird verwendet, um Quality of Service (QoS) zu gewährleisten, und ist ein wichtiges Feld für Echtzeitverkehr wie Voice over IP (VoIP). Flags werden am häufigsten zur Steuerung der Paketfragmentierung verwendet und können zu einem Problem werden, wenn ein Paket mit dem Flag Nicht fragmentieren auch die maximale Übertragungseinheit (MTU) einer Netzwerkverbindung überschreitet. TTL-Werte werden nach jedem Hop dekrementiert und können wichtige Hinweise auf den Pfad eines Pakets durch das Netzwerk geben.
Bei unverschlüsselten Arten von Datenverkehr können Paketschnüffler tiefer als nur die Header untersuchen und die tatsächliche Nutzlast untersuchen. Dies kann unglaublich nützlich sein, um Netzwerkprobleme zu beheben, ist aber auch ein potenzielles Sicherheitsproblem, wenn vertrauliche Daten wie Benutzernamen und Kennwörter vorhanden sind. Das Verständnis der Bedeutung hinter der Nutzlast eines Pakets kann Kenntnisse über das verwendete Protokoll erfordern.
Paketerfassungs- und Netzwerkanalyseanwendungen enthalten häufig Tools zum Filtern, Visualisieren und Überprüfen großer Datenmengen. Diese Tools ermöglichen eine Analyse, die durch manuelle Inspektion einer Paketerfassung nicht möglich ist. Erfassungsdateien können auch in ein Intrusion Detection System / Schutzsystem (IDS / IPS), ein Sicherheitsinformations- und Ereignismanagementsystem (SIEM) oder andere Arten von Sicherheitsprodukten eingespeist werden, um nach Anzeichen eines Angriffs oder einer Datenverletzung zu suchen.
Formate, Bibliotheken und Filter, Oh mein Gott!
Wenn es um Paketerfassungen geht, gibt es eine Reihe verwandter Terminologien, die ziemlich schnell verwirrend werden können. Lassen Sie uns einige der häufigsten und wichtigsten Begriffe aufschlüsseln, die Sie möglicherweise hören:
Paketerfassungsformate
Während Paketerfassungstools wie Wireshark verwendet werden können, um den Datenverkehr in Echtzeit zu überprüfen, ist es üblicher, Captures zur späteren Analyse in einer Datei zu speichern. Diese Dateien können in verschiedenen Formaten gespeichert werden. .pcap-Dateien sind am häufigsten und im Allgemeinen mit einer Vielzahl von Netzwerkanalysatoren und anderen Tools kompatibel. .pcapng baut auf dem Einfachen auf .pcap-Format mit neuen Feldern und Funktionen und ist jetzt das Standardformat beim Speichern von Dateien in Wireshark. Einige kommerzielle Tools können auch proprietäre Formate verwenden.
Bibliotheken
Bibliotheken wie libpcap, winpcap und npcap sind die wahren Stars der Paketerfassungsshow, die sich in den Netzwerkstapel eines Betriebssystems einfügen und die Möglichkeit bieten, in Pakete zu schauen, die sich zwischen Schnittstellen bewegen. Viele dieser Bibliotheken sind Open-Source-Projekte, so dass Sie sie in einer Vielzahl von kommerziellen und kostenlosen Paketerfassungstools finden können. In einigen Fällen müssen Sie die Bibliothek möglicherweise separat vom Tool installieren.
>
Die vollständige Paketerfassung kann ziemlich viel Platz beanspruchen und mehr Ressourcen vom Erfassungsgerät erfordern. In den meisten Fällen ist es auch übertrieben – die interessantesten Informationen sind normalerweise nur ein kleiner Teil des gesamten beobachteten Verkehrs. Paketerfassungen werden häufig gefiltert, um die relevanten Informationen auszusortieren. Dies kann von der Nutzlast über die IP-Adresse bis hin zu einer Kombination von Faktoren erfolgen.
Paketerfassungstools
Eine große Anzahl verschiedener Tools steht zur Verfügung, um die Pakete, die Ihr Netzwerk durchlaufen, zu erfassen und zu analysieren. Diese werden manchmal als Packet Sniffer bezeichnet. Hier sind einige der beliebtesten:
Wireshark
Das Quintessenz-Paket-Tool, Wireshark ist das Go-to-Paket-Capture-Tool für viele Netzwerkadministratoren, Sicherheitsanalysten und Amateur-Geeks. Mit einer einfachen Benutzeroberfläche und unzähligen Funktionen zum Sortieren, Analysieren und Verstehen des Datenverkehrs kombiniert Wireshark Benutzerfreundlichkeit und leistungsstarke Funktionen. Das Wireshark-Paket enthält auch ein Befehlszeilendienstprogramm namens tshark.
tcpdump
Leicht, vielseitig und auf vielen UNIX-ähnlichen Betriebssystemen vorinstalliert, ist tcpdump der Traum eines CLI-Junkies, wenn es um Paketerfassung geht. Dieses Opensource-Tool kann Pakete schnell für eine spätere Analyse in Tools wie Wireshark erfassen, verfügt jedoch über zahlreiche eigene Befehle und Switches, um große Mengen an Netzwerkdaten zu erfassen.
SolarWinds Network Performance Monitor
Dieses kommerzielle Tool ist seit langem ein Favorit für seine Benutzerfreundlichkeit, Visualisierungen und die Fähigkeit, den Datenverkehr nach Anwendung zu klassifizieren. Obwohl das Tool nur auf Windows-Plattformen installiert wird, kann es den Datenverkehr von jedem Gerätetyp aus schnüffeln und analysieren.
ColaSoft Capsa
ColaSoft stellt einen kommerziellen Paket-Sniffer für Unternehmenskunden her, bietet aber auch eine reduzierte Edition für Studenten und diejenigen, die gerade erst mit dem Networking beginnen. Das Tool verfügt über eine Vielzahl von Überwachungsfunktionen, die die Fehlerbehebung und Analyse in Echtzeit unterstützen.
Kismet
Kismet ist ein Dienstprogramm zur Erfassung des drahtlosen Datenverkehrs und zur Erkennung drahtloser Netzwerke und Geräte. Dieses Tool ist für Linux-, Mac- und Windows-Plattformen verfügbar und unterstützt eine Vielzahl von Erfassungsquellen, einschließlich Bluetooth- und Zigbee-Funkgeräten. Mit dem richtigen Setup können Sie Pakete von allen Geräten im Netzwerk erfassen.
Packet Capture und Packet Sniffer Anwendungsfälle
Während der Begriff Packet Sniffer Bilder von Hackern heraufbeschwören kann, die heimlich sensible Kommunikation anzapfen, gibt es viele legitime Anwendungen für einen Packet Sniffer. Im Folgenden sind einige typische Anwendungsfälle für Paketschnüffler aufgeführt:
Asset Discovery / Passive Reconnaissance
Pakete enthalten naturgemäß Quell- und Zieladressen, sodass eine Paketerfassung verwendet werden kann, um aktive Endpunkte in einem bestimmten Netzwerk zu ermitteln. Mit genügend Daten ist es sogar möglich, die Endpunkte zu fingerabdrücken. Wenn dies zu legitimen Geschäftszwecken geschieht, wird dies als Ermittlung oder Bestandsaufnahme bezeichnet. Die passive Natur einer Paketerfassung macht sie jedoch zu einer hervorragenden Möglichkeit für böswillige Angreifer, Informationen für weitere Angriffsphasen zu sammeln. Natürlich kann dieselbe Technik von Red Teamern verwendet werden, die die Sicherheit einer Organisation testen
Fehlerbehebung
Bei der Fehlerbehebung von Netzwerkproblemen kann die Überprüfung des tatsächlichen Netzwerkverkehrs das effektivste Mittel sein, um die Ursache eines Problems einzugrenzen. Packet Sniffer ermöglichen es Netzwerkadministratoren und Ingenieuren, den Inhalt von Paketen anzuzeigen, die das Netzwerk durchlaufen. Dies ist eine wichtige Funktion bei der Fehlerbehebung bei grundlegenden Netzwerkprotokollen wie DHCP, ARP und DNS. Paketerfassungen zeigen jedoch nicht den Inhalt des verschlüsselten Netzwerkverkehrs an.
Durch das Schnüffeln von Paketen kann überprüft werden, ob der Datenverkehr den richtigen Pfad über das Netzwerk nimmt und mit der richtigen Priorität behandelt wird. Eine überlastete oder unterbrochene Netzwerkverbindung ist in einer Paketerfassung oft leicht zu erkennen, da nur eine Seite einer typischerweise zweiseitigen Konversation vorhanden ist. Verbindungen mit einer großen Anzahl von Wiederholungsversuchen oder verworfenen Paketen weisen häufig auf eine überstrapazierte Verbindung oder fehlerhafte Netzwerkhardware hin.
Intrusion Detection
Verdächtiger Netzwerkverkehr kann als Paketerfassung gespeichert und zur weiteren Analyse in eine IDS-, IPS- oder SIEM-Lösung eingespeist werden. Angreifer geben sich große Mühe, sich in den normalen Netzwerkverkehr einzumischen, aber eine sorgfältige Inspektion kann verdeckten Datenverkehr aufdecken. Bekannte bösartige IP-Adressen, verräterische Nutzlasten und andere winzige Details können auf einen Angriff hinweisen. Selbst etwas so Harmloses wie eine DNS-Anfrage kann, wenn es in regelmäßigen Abständen wiederholt wird, ein Zeichen für ein Befehls- und Kontrollfeuer sein.
Incident Response und Forensik
Packet Captures bieten eine einzigartige Möglichkeit für Incident Responder. Angreifer können Schritte unternehmen, um ihre Spuren auf Endpunkten zu verwischen, aber sie können keine Pakete absetzen, die bereits ein Netzwerk durchlaufen haben. Unabhängig davon, ob es sich um Malware, Datenexfiltration oder eine andere Art von Vorfall handelt, können Paketerfassungen häufig Anzeichen eines Angriffs erkennen, die andere Sicherheitstools übersehen. Da ein Paketheader immer sowohl eine Quell- als auch eine Zieladresse enthält, können Incident-Response-Teams Paketerfassungen verwenden, um den Pfad eines Angreifers durch das Netzwerk zu verfolgen oder Anzeichen dafür zu erkennen, dass Daten aus dem Netzwerk herausgefiltert werden.
Vorteile und Nachteile der Paketerfassung
Wie bereits erwähnt, sind Paketerfassungen ein enormer Vorteil für Netzwerkadministratoren und Sicherheitsteams. Sie sind jedoch nicht die einzige Option zur Überwachung des Netzwerkverkehrs, und es kann Fälle geben, in denen Dinge wie SNMP oder NetFlow die bessere Wahl sind. Hier sehen Sie einige der Vor- und Nachteile der Verwendung von Paketerfassungen:
Vorteil: Vollständigster Blick auf den Netzwerkverkehr
Die Paketerfassung ist per Definition eine doppelte Kopie der tatsächlichen Pakete, die ein Netzwerk oder eine Netzwerkverbindung durchlaufen. Es ist daher der gründlichste Blick auf den Netzwerkverkehr möglich. Paketerfassungen enthalten einen hohen Detaillierungsgrad, der in anderen Überwachungslösungen nicht verfügbar ist, einschließlich vollständiger Nutzdaten, aller IP-Header-Felder und in vielen Fällen sogar Informationen über die Erfassungsschnittstelle. Dies kann die Erfassung zur einzig praktikablen Lösung machen, wenn viele Details erforderlich sind.
Vorteil: Kann Gespeichert Werden für Weitere Analyse
Paket erfasst werden können gespeichert werden für weitere analyse oder inspektion in industrie-standard.pcap und .pcapng-Formate. Auf diese Weise kann beispielsweise verdächtiger Datenverkehr von einem Netzwerktechniker gespeichert und später von einem Sicherheitsanalysten überprüft werden. Eine Vielzahl von Tools unterstützt dieses Format, einschließlich Sicherheitsanalysetools. Es ist auch möglich, eine Paketerfassung, die aus mehreren Stunden Daten besteht, zu speichern und zu einem späteren Zeitpunkt zu überprüfen.
Vorteil: Hardwareunabhängig
SNMP und NetFlow erfordern beide Unterstützung auf Netzwerkhardwareebene. Während beide Technologien breite Unterstützung genießen, sind sie nicht allgemein verfügbar. Es kann auch Unterschiede geben, wie jeder Anbieter sie implementiert. Die Paketerfassung hingegen erfordert keine spezielle Hardwareunterstützung und kann von jedem Gerät aus erfolgen, das Zugriff auf das Netzwerk hat.
Nachteil: Große Dateigrößen
Die vollständige Paketerfassung kann viel Speicherplatz beanspruchen – in einigen Fällen bis zu 20-mal so viel Speicherplatz wie bei anderen Optionen. Selbst wenn die Filterung angewendet wird, kann eine einzelne Erfassungsdatei viele Gigabyte Speicherplatz beanspruchen. Dies kann dazu führen, dass Paketerfassungen für die Langzeitspeicherung ungeeignet sind. Diese großen Dateigrößen können auch zu langen Wartezeiten beim Öffnen einer Datei führen .pcap in einem Netzwerkanalysetool.
Nachteil: Zu viele Informationen
Während Paketerfassungen einen sehr vollständigen Überblick über den Netzwerkverkehr bieten, sind sie oft zu umfassend. Relevante Informationen können oft in riesigen Datenmengen verloren gehen. Analysetools verfügen über Funktionen zum Ordnen, Sortieren und Filtern von Erfassungsdateien, aber viele Anwendungsfälle werden möglicherweise durch andere Optionen besser bedient. Es ist oft möglich, ein Netzwerk zu beheben oder Anzeichen eines Angriffs nur mit den zusammengefassten Versionen des Netzwerkverkehrs zu erkennen, die in anderen Überwachungslösungen verfügbar sind. Ein gängiger Ansatz besteht darin, eine Technologie wie NetFlow zu verwenden, um den gesamten Datenverkehr zu überwachen und bei Bedarf eine vollständige Paketerfassung durchzuführen.
Nachteil: Feste Felder
Die neuesten Iterationen von NetFlow ermöglichen anpassbare Datensätze, sodass Netzwerkadministratoren auswählen können, welche Informationen erfasst werden sollen. Da eine Paketerfassung auf der vorhandenen Struktur eines IP-Pakets basiert, gibt es keinen Raum für Anpassungen. Dies ist möglicherweise kein Problem, aber je nach Anwendungsfall müssen möglicherweise nicht alle Felder eines IP-Pakets erfasst werden.
Fazit
Die Paketerfassung ist aus Sicht der Fehlerbehebung und Sicherheit von unschätzbarem Wert, sollte jedoch niemals das einzige Tool sein, auf das sich ein Netzwerkadministrator oder Sicherheitsingenieur verlässt. Die zunehmende Verwendung von Verschlüsselung für legitime und illegitime Zwecke schränkt die Wirksamkeit von Tools wie Wireshark ein. Paketerfassungen geben Incident Respondern auch keine große Vorstellung davon, welche Aktionen auf einem Host stattgefunden haben. Dateien konnten geändert, Prozesse ausgeblendet und neue Benutzerkonten erstellt werden, ohne ein einziges Paket zu generieren. Die Varonis Data Protection Platform bietet eine datenzentrierte Ansicht Ihrer Organisation, die Bedrohungen erkennen kann, die im Netzwerk unentdeckt bleiben. Stellen Sie wie immer sicher, dass Sie in Ihrem Netzwerk umfassende Abwehrmaßnahmen und Best Practices anwenden. Und wenn Sie bereit sind, Varonis zu Ihren Sicherheitstools hinzuzufügen, planen Sie eine Einzeldemo!