20 tammikuun, 2022

Packet Capture: What is it and What you Need to Know

Packet capture on elintärkeä työkalu, jota käytetään pitämään verkot toiminnassa turvallisesti ja tehokkaasti. Väärissä käsissä sillä voidaan varastaa myös arkaluontoisia tietoja, kuten käyttäjätunnuksia ja salasanoja. Tässä viestissä sukellamme siihen, mitä pakettikaappaus on, miten se toimii, millaisia työkaluja käytetään, ja tarkastelemme joitakin näytekäyttötapauksia.

  • mikä on Pakettikaappaus?
  • Miten Pakettikaappaus Toimii?
  • kuinka lukea Pakettikaappaus
  • formaatit, Kirjastot ja suodattimet, Oh My!
  • Packet Capture Tools
  • Packet Capture and Packet Sniffer Use Cases
  • Packet Capture edut ja haitat

What is Packet Capture?

Packet Capture tarkoittaa toimintaa syömällä Internet Protocol (IP)paketteja tarkastelun tai analysoinnin. Termiä voidaan käyttää myös kuvaamaan tiedostoja, jotka paketti kaapata työkaluja ulostulo, jotka usein tallennetaan .pcap-muodossa. Pakettien kaappaaminen on yleinen vianetsintätekniikka verkon ylläpitäjille, ja sitä käytetään myös verkkoliikenteen tutkimiseen tietoturvauhkien varalta. Kun tietomurto tai muu tapahtuma, paketti kaappaa antaa elintärkeitä rikosteknisiä vihjeitä, jotka auttavat tutkimuksia. Uhkaajan näkökulmasta pakettikaappauksia saatetaan käyttää salasanojen ja muiden arkaluontoisten tietojen varastamiseen. Toisin kuin aktiiviset tiedustelutekniikat, kuten porttiskannaus, pakettien kaappaaminen voidaan toteuttaa jättämättä jälkeäkään tutkijoille.

Miten Pakettikaappaus Toimii?

on enemmän kuin yksi tapa napata paketti! Paketti kaappaa voidaan tehdä pala verkkolaitteita, kuten reititin tai kytkin, omistettu pala laitteisto nimeltään hana, analyytikon kannettavan tietokoneen tai työpöydän, ja jopa mobiililaitteisiin. Käytetty lähestymistapa riippuu lopputuloksesta. Riippumatta siitä, mitä lähestymistapaa käytetään, pakettikaappaus toimii luomalla kopioita joistakin tai kaikista paketeista, jotka kulkevat tietyn verkon pisteen kautta.

pakettien kaappaaminen omalta koneelta on helpoin tapa päästä alkuun, mutta siinä on muutama varoitus. Oletusarvoisesti verkkoliitännät kiinnittävät huomiota vain niille tarkoitettuun liikenteeseen. Saat kattavamman näkymän verkkoliikenteeseen, sinun kannattaa laittaa käyttöliittymä siveettömään tilaan tai valvontatilaan. Muista, että tämä lähestymistapa tallentaa myös rajoitetun näkymän verkkoon; esimerkiksi langallisessa verkossa näet liikennettä vain siinä paikallisessa kytkinportissa, johon koneesi on kytketty.

reitittimessä tai kytkimessä ominaisuudet, jotka tunnetaan vaihtelevasti nimellä port mirroring, port monitoring ja switched port analyzer (SPAN), antavat verkon ylläpitäjille mahdollisuuden kopioida verkkoliikennettä ja lähettää sen tiettyyn porttiin, yleensä pakettien viemiseksi tiettyyn valvontaratkaisuun. Monissa enterprise-luokan kytkimissä ja reitittimissä on nyt upotettu pakettikaappaustoiminto, jota voidaan käyttää nopeasti vianmääritykseen suoraan laitteen CLI-tai web-käyttöliittymästä. Muuntyyppisissä verkkolaitteissa, kuten palomuureissa ja langattomissa tukiasemissa, on myös yleisesti pakettikaappaustoimintoja.

jos suoritat pakettikaappausta erityisen suuressa tai vilkkaassa verkossa, oma verkkohana saattaa olla paras vaihtoehto. Hanat ovat kallein tapa kaapata paketteja, mutta käyttöön Ei suorituskykyä rangaistus, koska ne ovat omistettu laitteisto.

pakettien kaappauksen lukeminen

pakettien kaappauksen ymmärtämiseksi ja analysoimiseksi tarvitset joitakin perustietoja verkostoitumisen peruskäsitteistä, erityisesti OSI-mallista. Vaikka erikoistyökalujen välillä voi olla eroja, pakettikaappaukset koostuvat aina hyötykuormasta ja joistakin otsikoista. Hyötykuorma koostuu todellisesta siirrettävästä datasta-tämä voi olla bittiä suoratoistoelokuvasta, sähköposteista, kiristysohjelmista tai mistä tahansa muusta verkossa kulkevasta. Pakettiotsikot sisältävät kaiken kriittisen tiedon, joka auttaa verkkolaitteita päättämään, mitä kukin paketti tekee. Tärkeimpiä ovat lähde-ja kohdeosoitteet, mutta IP-paketeissa on yhteensä 14 otsikkoa, jotka kattavat kaiken palveluluokasta Protokollatyyppiin. Ammattimaisella verkkoanalyytikolla on yksityiskohtaiset tiedot kaikista näistä aloista, mutta yleinen käsitys pakettirakenteesta on kaikki, mitä tarvitaan suorituskykyyn liittyvien ongelmien vianmäärityksen aloittamiseen tai lisätietojen hankkimiseen siitä, miten verkot toimivat.

versio otsikon Pituus DSCP-arvo ECN Paketin Kokonaispituus
tunnistetiedot Liput katkelman Siirtymä
Time to Live (TTL) Protocol Header Checksum

lähde-IP-osoite

kohteen IP-osoite

valinnainen

lähde-ja kohdeosoitteiden lisäksi vianmäärityksen tärkeimpiä kenttiä perspektiiviä voivat olla eriytetyt Palvelukoodipiste (DSCP), liput ja TTL. DSCP: tä käytetään palvelun laadun (QoS) varmistamiseen, ja se on tärkeä kenttä reaaliaikaisessa liikenteessä, kuten VoIP (Voice over IP). Lippuja käytetään useimmiten paketin pirstoutumisen hallitsemiseen, ja niistä voi tulla ongelma, kun Don ’ t Fragment-lipun omaava paketti ylittää myös verkkoyhteyden suurimman lähetysyksikön (MTU) koon. TTL-arvot pienenevät jokaisen hop: n jälkeen, ja ne voivat antaa tärkeitä vihjeitä paketin kulkureitistä verkon läpi.

salaamattomissa liikennetyypeissä pakettihakijat voivat kaivaa muutakin kuin otsikoita ja tarkastaa todellisen hyötykuorman. Tämä voi olla uskomattoman hyödyllinen verkkoongelmien vianmäärityksessä, mutta se on myös mahdollinen tietoturvaongelma, kun arkaluonteisia tietoja, kuten käyttäjätunnuksia ja salasanoja, on läsnä. Paketin hyötykuorman merkityksen ymmärtäminen voi edellyttää käytössä olevan protokollan tuntemusta.

Pakettikaappaus-ja verkkoanalyysisovellukset sisältävät usein työkaluja suurten tietomäärien suodattamiseen, visualisointiin ja tarkastamiseen. Nämä työkalut mahdollistavat analyysin, joka ei ole mahdollista pakettien kaappauksen manuaalisella tarkastuksella. Capture-tiedostot voidaan syöttää myös tunkeutumisen Havaitsemisjärjestelmään / Suojausjärjestelmiin (IDS / IPS), Tietoturvatieto-ja Tapahtumanhallintajärjestelmään (Siem) tai muihin tietoturvatuotteisiin hyökkäyksen tai tietomurron merkkien etsimiseksi.

formaatit, Kirjastot ja suodattimet, Oh My!

kun se tulee pakettikaappauksia, siellä on erilaisia siihen liittyviä terminologiaa, joka voi saada sekava melko nopeasti. Let ’ s murtaa joitakin yleisimpiä ja tärkeitä termejä saatat kuulla:

Pakettikaappausformaatit

vaikka pakettikaappausvälineitä kuten Wireshark voidaan käyttää liikenteen tarkastamiseen reaaliajassa, on yleisempää tallentaa kaappauksia tiedostoon myöhempää analysointia varten. Nämä tiedostot voidaan tallentaa eri muodoissa. .pcap-tiedostot ovat yleisimpiä ja ovat yleensä yhteensopivia useiden verkkoanalysaattoreiden ja muiden työkalujen kanssa. .pcapng perustuu yksinkertainen .pcap-muodossa uusia kenttiä ja ominaisuuksia ja on nyt oletusmuoto tallennettaessa tiedostoja Wireshark. Joissakin kaupallisissa työkaluissa saatetaan käyttää myös omia formaatteja.

kirjastot

kirjastot kuten libpcap, winpcap ja npcap ovat pakettien kaappausohjelman todellisia tähtiä, jotka kytkeytyvät käyttöjärjestelmän verkostoitumispinoon ja tarjoavat mahdollisuuden kurkistaa rajapintojen välillä liikkuviin paketteihin. Monet näistä kirjastoista ovat avoimen lähdekoodin projekteja, joten voit löytää ne monenlaisista sekä kaupallisista että ilmaisista pakettikaappaustyökaluista. Joissakin tapauksissa kirjasto on asennettava erikseen työkalusta.

suodatus

täyden paketin kaappaus voi viedä melko vähän tilaa ja vaatia lisää resursseja kaappauslaitteelta. Se on myös useimmiten ylilyöntiä-kiinnostavin tieto on tyypillisesti vain pieni osa havaitusta kokonaisliikenteestä. Pakettikaappaukset suodatetaan usein olennaisen tiedon kitkemiseksi. Tämä voi perustua kaikkeen hyötykuormasta IP-osoitteeseen ja tekijöiden yhdistelmään.

Pakettikaappaustyökalut

suuri määrä erilaisia työkaluja on käytettävissä verkon läpi kulkevien pakettien kaappaamiseen ja analysointiin. Näitä kutsutaan joskus pakettien haistelijoiksi. Tässä muutamia suosituimpia:

Wireshark

keskeinen pakettityökalu, Wireshark on monien verkon ylläpitäjien, turvallisuusanalyytikkojen ja amatöörinörttien pakettien kaappaustyökalu. Wireshark yhdistää helppokäyttöisyyden ja tehokkaat ominaisuudet yksinkertaiseen graafiseen käyttöliittymään ja lukuisiin ominaisuuksiin lajittelua, analysointia ja liikenteen ymmärtämistä varten. Wireshark-paketti sisältää myös komentorivityökalun nimeltä tshark.

tcpdump

kevyt, monipuolinen ja esiasennettuna moniin UNIX-kaltaisiin käyttöjärjestelmiin, tcpdump on CLI-narkkarin unelmien täyttymys pakettikaappauksissa. Tämä opensource-työkalu voi nopeasti kaapata paketteja myöhempää analysointia varten Wiresharkin kaltaisissa työkaluissa, mutta siinä on runsaasti omia komentoja ja kytkimiä, joiden avulla voidaan saada tolkkua valtaviin verkkotietosummiin.

SolarWinds Network Performance Monitor

tämä kaupallinen työkalu on jo pitkään ollut suosittu helppokäyttöisyytensä, visualisointiensa ja sovellusten mukaisen liikenteen luokittelun vuoksi. Vaikka työkalu asentaa vain Windows-alustoille, se voi haistaa ja analysoida liikennettä mistä tahansa laitteesta.

ColaSoft Capsa

ColaSoft tekee yritysasiakkaille suunnattua kaupallista pakettinuuskijaa, mutta tarjoaa myös pared-down-version, joka on suunnattu opiskelijoille ja juuri verkostoituville. Työkalulla on erilaisia valvontaominaisuuksia, jotka auttavat reaaliaikaisessa vianmäärityksessä ja analysoinnissa.

Kismet

Kismet on apuohjelma, joka on omistettu langattoman liikenteen tallentamiseen ja langattomien verkkojen ja laitteiden havaitsemiseen. Saatavilla Linux -, Mac-ja Windows-alustoille, tämä työkalu tukee laajaa valikoimaa kaappauslähteitä, kuten Bluetooth-ja Zigbee-radioita. Oikeilla asetuksilla voit kaapata paketteja kaikista verkon laitteista.

Packet Capture and Packet Sniffer Use Cases

vaikka termi paketti Sniffer voi loihtia kuvia hakkerit salakuuntelevat arkaluontoista viestintää, on paljon oikeutettuja käyttötarkoituksia paketti sniffer. Seuraavat ovat tyypillisiä käyttötapauksia pakettihakijoille:

Asset Discovery / Passive Reconnaissance

paketit sisältävät luonteensa vuoksi lähde-ja kohdeosoitteita, joten pakettikaappausta voidaan käyttää aktiivisten päätepisteiden löytämiseen tietyssä verkossa. Kun dataa on tarpeeksi, on jopa mahdollista sormenjälkiä päätepisteet. Kun se tehdään laillisiin liiketoiminnallisiin tarkoituksiin, Tätä kutsutaan löydöksi tai inventaarioksi. Pakettien kaappauksen passiivisuus tekee kuitenkin haitallisista hyökkääjistä erinomaisen tavan kerätä tietoa hyökkäyksen myöhempiä vaiheita varten. Samaa tekniikkaa voivat toki käyttää myös organisaation tietoturvaa testaavat punaiset tiemiehet

Vianetsintä

verkko-ongelmien vianetsinnässä varsinaisen verkkoliikenteen tarkastaminen voi olla tehokkain keino ongelman perimmäisen syyn kaventamiseen. Packet sniffers antaa verkon ylläpitäjille ja insinööreille mahdollisuuden tarkastella verkossa kulkevien pakettien sisältöä. Tämä on olennainen ominaisuus, kun viataan perustavia verkkoprotokollia, kuten DHCP, ARP ja DNS. Pakettikaappaukset eivät kuitenkaan paljasta salatun verkkoliikenteen sisältöä.

pakettien nuuskiminen voi auttaa varmistamaan, että liikenne kulkee verkon halki oikeaa reittiä ja sitä kohdellaan oikealla tavalla. Ruuhkautunut tai katkennut verkkoyhteys on usein helppo havaita pakettikaappauksessa, koska vain tyypillisesti kaksipuolisen keskustelun toinen puoli on läsnä. Yhteydet, joissa on suuri määrä uusintoja tai pudotettuja paketteja, ovat usein merkkejä liian käytetystä linkistä tai verkkolaitteistosta.

tunkeutumisen havaitseminen

epäilyttävä verkkoliikenne voidaan tallentaa pakettikaappauksena ja syöttää IDS -, IPS-tai SIEM-ratkaisuun tarkempaa analysointia varten. Hyökkääjät menevät pitkälle sulautuakseen normaaliin verkkoliikenteeseen, mutta huolellinen tarkastus voi paljastaa salaisen liikenteen. Tunnetut haitalliset IP-osoitteet, telltale hyötykuormat ja muut minuuttitiedot voivat kaikki viitata hyökkäykseen. Jopa jokin niinkin harmiton kuin DNS-pyyntö, jos se toistetaan säännöllisin väliajoin, voi olla merkki komento-ja ohjausmajakasta.

Välikohtausvaste ja rikostekninen

Pakettikaappaukset tarjoavat ainutlaatuisen mahdollisuuden tapahtumavastaajille. Hyökkääjät voivat ryhtyä toimiin peittääkseen jälkensä päätepisteissä, mutta he eivät voi poistaa lähetyspaketteja, jotka ovat jo kulkeneet verkon läpi. Olipa kyseessä haittaohjelma, tietojen poistuminen tai jokin muu tapahtuma, pakettikaappaukset voivat usein havaita merkkejä hyökkäyksestä, jota muut tietoturvatyökalut eivät huomaa. Koska paketin otsikko sisältää aina sekä lähde-että kohdeosoitteen, vaaratilanteiden vastausryhmät voivat käyttää pakettikaappauksia hyökkääjän polun jäljittämiseen verkon kautta tai havaitakseen merkkejä siitä, että tiedot on viety ulos verkosta.

Pakettikaappauksen edut ja haitat

kuten jo todettiin, pakettikaappaukset ovat valtava voimavara verkon ylläpitäjille ja tietoturvaryhmille. Ne eivät kuitenkaan ole ainoa vaihtoehto verkkoliikenteen seuraamiseen, ja saattaa olla tapauksia, joissa SNMP: n tai NetFlow: n kaltaiset asiat ovat parempia valintoja. Tässä on tarkastella joitakin etuja ja haittoja käyttämällä pakettikaappauksia:

Advantage: useimmat täydellinen tarkastella verkkoliikennettä

Pakettikaappaus on määritelmän mukaan kaksoiskappale todellisista paketeista, jotka kulkevat verkon tai verkkoyhteyden kautta. Se on siis mahdollisimman perusteellinen katsaus verkkoliikenteeseen. Pakettikaappaukset sisältävät paljon yksityiskohtia, joita ei ole saatavilla muissa seurantaratkaisuissa, mukaan lukien täydellinen hyötykuorma, kaikki IP-otsakkeet ja monissa tapauksissa jopa tiedot kaappausliittymästä. Tämä voi tehdä syömällä ainoa toimiva ratkaisu silloin, kun paljon yksityiskohtia tarvitaan.

Advantage: voidaan tallentaa lisäanalyysiä varten

Pakettikaappaukset voidaan tallentaa lisäanalyysiä tai tarkastusta varten alan standardissa .pcap ja .pcapng formaatteja. Tämä mahdollistaa esimerkiksi epäilyttävän liikenteen tallentamisen verkkoinsinöörille ja myöhemmin tietoturva-analyytikolle. Laaja valikoima työkaluja tukee tätä muotoa, mukaan lukien tietoturvaanalyysityökalut. On myös mahdollista tallentaa pakettikaappaus, joka koostuu useiden tuntien arvosta dataa,ja tarkastella sitä myöhemmin.

Advantage: Hardware Agnostic

SNMP ja NetFlow tarvitsevat molemmat tukea verkon laitteistotasolla. Vaikka molemmat teknologiat nauttivat laajaa tukea, ne eivät ole yleisesti saatavilla. Myös siinä, miten kukin myyjä niitä toteuttaa, voi olla eroja. Pakettikaappaus ei toisaalta vaadi erikoistunutta laitteistotukea, ja se voi tapahtua mistä tahansa laitteesta, jolla on pääsy verkkoon.

haitta: suuri tiedostokoko

täyden paketin kaappaus voi viedä suuria määriä levytilaa – joissakin tapauksissa jopa 20 kertaa niin paljon tilaa kuin muissa vaihtoehdoissa. Suodatettunakin yksi kaappaustiedosto voi viedä monta gigatavua tallennustilaa. Tämä voi tehdä pakettikaappaukset sopimattomiksi pitkäaikaiseen varastointiin. Nämä suuret tiedostokoot voivat myös johtaa pitkiin odotusaikoihin avattaessa .pcap verkkoanalyysityökalussa.

haitta: liikaa tietoa

vaikka pakettikaappaukset tarjoavat hyvin kattavan kuvan verkkoliikenteestä, ne ovat usein liian kattavia. Olennaiset tiedot voivat usein hukkua valtaviin tietomääriin. Analysointityökaluilla on ominaisuuksia järjestys -, lajittelu-ja suodatinkaappaustiedostot, mutta monet käyttötapaukset saattavat palvella paremmin muita vaihtoehtoja. Verkon vianmääritys tai hyökkäyksen merkkien havaitseminen on usein mahdollista vain muiden seurantaratkaisujen verkkoliikenteen tiivistetyillä versioilla. Yksi yhteinen lähestymistapa on käyttää NetFlow ’ n kaltaista teknologiaa kaiken liikenteen seuraamiseen ja siirtyä tarvittaessa koko paketin kaappaukseen.

haitta: kiinteät kentät

NetFlow ’ n uusimmat iteroinnit mahdollistavat Muokattavat tietueet, eli verkon ylläpitäjät voivat valita, mitä tietoja kaappaavat. Koska paketin kaappaus perustuu IP-paketin olemassa olevaan rakenteeseen, ei ole tilaa räätälöinnille. Tämä ei välttämättä ole ongelma, mutta käyttötapauksesta riippuen IP-paketin kaikkia kenttiä ei välttämättä tarvitse tallentaa.

Conclusion

Packet capture on korvaamaton vianmäärityksen ja turvallisuuden kannalta, mutta sen ei pitäisi koskaan olla ainoa työkalu, johon verkon ylläpitäjä tai tietoturvainsinööri luottaa. Salauksen lisääntynyt käyttö sekä laillisiin että laittomiin tarkoituksiin rajoittaa Wiresharkin kaltaisten työkalujen tehokkuutta. Pakettikaappaukset eivät myöskään anna tapahtumavastaajille paljon käsitystä siitä, mitä toimia on tapahtunut isännällä. Tiedostoja on voitu muokata, prosesseja piilottaa ja uusia käyttäjätilejä luoda tuottamatta yhden paketin. Varonis Data Protection platform tarjoaa organisaatiostasi datakeskeisen näkymän, joka voi havaita verkossa huomaamattomia uhkia. Kuten aina, varmista palkata puolustus-syvällistä ja parhaita käytäntöjä verkossa. Ja kun olet valmis lisäämään Varoniksen tietoturvatyökalujesi täydennykseen, ajoittaa kahdenkeskinen demo!

Vastaa

Sähköpostiosoitettasi ei julkaista.