Packet Capture: mi ez, és mit kell tudni
Packet capture egy létfontosságú eszköz, amelyet a hálózatok biztonságos és hatékony működéséhez használnak. Rossz kezekben érzékeny adatok, például felhasználónevek és jelszavak ellopására is használható. Ebben a bejegyzésben belemerülünk abba, hogy mi a csomagrögzítés, hogyan működik, milyen eszközöket használnak, és megnézünk néhány mintahasználati esetet.
- mi a Csomagrögzítés?
- Hogyan Működik A Csomagrögzítés?
- hogyan kell olvasni a Packet Capture
- formátumok, könyvtárak és szűrők, Oh My!
- Packet Capture eszközök
- Packet Capture és Packet Sniffer használati esetek
- Packet Capture előnyei és hátrányai
mi a Packet Capture?
a Csomagrögzítés az Internet Protocol (IP) csomagok ellenőrzésre vagy elemzésre történő rögzítésére utal. A kifejezés arra is használható, hogy leírja azokat a fájlokat, amelyeket a csomagrögzítő eszközök kimennek, amelyeket gyakran a .pcap formátum. A csomagok rögzítése általános hibaelhárítási technika a hálózati rendszergazdák számára, és a hálózati forgalom biztonsági fenyegetések vizsgálatára is szolgál. Adatsértést vagy más eseményt követően, a csomagrögzítések létfontosságú törvényszéki nyomokat nyújtanak, amelyek elősegítik a vizsgálatokat. A fenyegetés szereplőinek szemszögéből a csomagrögzítéseket jelszavak és más érzékeny adatok ellopására lehet használni. Az aktív felderítési technikákkal ellentétben, mint például a portszkennelés, a csomagok rögzítése anélkül valósítható meg, hogy nyomot hagyna a nyomozók számára.
Hogyan Működik A Packet Capture?
van több, mint egy módja annak, hogy elkapjon egy csomagot! A csomagrögzítés elvégezhető egy hálózati eszközről, például útválasztóról vagy kapcsolóról, egy dedikált hardverről, amelyet csapnak hívnak, egy elemző laptopjáról vagy asztaláról, sőt mobileszközökről is. Az alkalmazott megközelítés a végcéltól függ. Nem számít, milyen megközelítést alkalmaznak, a csomagrögzítés úgy működik, hogy a hálózat egy adott pontján áthaladó csomagok egy részét vagy egészét másolatot készít.
a csomagok rögzítése a saját gépéről a legegyszerűbb módja az indulásnak, de van néhány figyelmeztetés. Alapértelmezés szerint a hálózati interfészek csak a nekik szánt forgalomra figyelnek. A hálózati forgalom teljesebb megtekintéséhez az interfészt ígéretes vagy monitor módba kell helyezni. Ne feledje, hogy ez a megközelítés a hálózat korlátozott nézetét is rögzíti; például vezetékes hálózaton csak a helyi switch port forgalmát látja, amelyhez a készülék csatlakozik.
útválasztón vagy kapcsolón a port tükrözés, a portfigyelés és a switched port analyzer (span) néven ismert funkciók lehetővé teszik a hálózati rendszergazdák számára, hogy lemásolják a hálózati forgalmat, és elküldjék azt egy meghatározott portra, általában csomagok exportálására egy dedikált felügyeleti megoldásba. Számos vállalati szintű kapcsoló és útválasztó rendelkezik beágyazott csomagrögzítési funkcióval, amellyel gyorsan elháríthatja a hibaelhárítást közvetlenül az eszköz CLI-jéről vagy webes felületéről. Más típusú hálózati eszközök, például a tűzfalak és a vezeték nélküli hozzáférési pontok szintén gyakran csomagrögzítési funkcióval rendelkeznek.
ha különösen nagy vagy elfoglalt hálózaton végez csomagrögzítést, akkor a dedikált hálózati koppintás lehet a legjobb megoldás. A csapok a legdrágább módja a csomagok rögzítésének, de nem vezetnek be teljesítménybüntetést, mivel dedikált hardverek.
hogyan kell olvasni a Packet Capture-t
a packet capture megértéséhez és elemzéséhez alapvető ismeretekre van szükség az alapvető hálózati koncepciókról, különösen az OSI modellről. Bár lehetnek különbségek az egyes eszközök között, a csomagrögzítések mindig egy hasznos teherből és néhány fejlécből állnak. A hasznos teher a tényleges adatátvitelből áll – ez lehet egy streaming film bitje, e-mailek, ransomware, vagy bármi más, amely áthalad a hálózaton. A csomagfejlécek tartalmazzák az összes kritikus információt, amely segít a hálózati berendezéseknek eldönteni, hogy mit kezdjenek az egyes csomagokkal. A legfontosabbak a forrás-és célcímek, de az IP-csomagok összesen 14 fejlécet tartalmaznak, amelyek mindent lefednek a szolgáltatás osztályától a protokoll Típusáig. A professzionális hálózati elemző részletes ismeretekkel rendelkezik ezekről a területekről, de a csomagszerkezet általános megértése csak a teljesítményproblémák hibaelhárításának megkezdéséhez vagy a hálózatok működésének megismeréséhez szükséges.
| változat | fejléc hossza | DSCP érték | ECN | teljes csomag hossza |
| Azonosító | zászlók | töredék eltolás | ||
| idő élni (TTL) | protokoll | fejléc ellenőrző összeg | ||
|
forrás IP-címe |
||||
|
cél IP-címe |
||||
|
választható |
||||
a forrás-és célcímeken kívül a hibaelhárítás néhány legfontosabb mezője a perspektíva magában foglalhatja a differenciált szolgáltatási kódpontot (DSCP), a zászlókat és a TTL-t. A DSCP a szolgáltatás minőségének (QoS) biztosítására szolgál, és fontos terület a valós idejű forgalom számára, mint például a Voice over IP (VoIP). A zászlókat leggyakrabban a csomagok töredezettségének szabályozására használják, és problémává válhatnak, ha egy olyan csomag, amelynek nincs töredék jelzője, szintén meghaladja a hálózati kapcsolat maximális átviteli egység (MTU) méretét. A TTL értékek minden ugrás után csökkennek, és fontos nyomokat adhatnak a csomag hálózaton keresztüli útvonaláról.
titkosítatlan típusú forgalom esetén a csomagszippantók nem csak a fejléceket képesek mélyebbre ásni, és ellenőrizni a tényleges hasznos terhelést. Ez hihetetlenül hasznos lehet a hálózati problémák elhárításához, de potenciális biztonsági problémát is jelenthet, ha érzékeny adatok, például felhasználónevek és jelszavak vannak jelen. A csomag hasznos terhelésének jelentésének megértése megkövetelheti a használt protokoll ismeretét.
a csomagrögzítő és hálózati elemző alkalmazások gyakran tartalmaznak eszközöket nagy mennyiségű adat szűrésére, megjelenítésére és ellenőrzésére. Ezek az eszközök lehetővé teszik az elemzést, amely a csomagrögzítés kézi ellenőrzésével nem lehetséges. A rögzítési fájlok Betáplálhatók behatolásérzékelő rendszerbe/védelmi rendszerekbe (IDS/IPS), biztonsági információ-és eseménykezelő rendszerbe (Siem) vagy más típusú biztonsági termékekbe is, hogy megkeressék a támadás vagy az adatsértés jeleit.
formátumok, könyvtárak és szűrők, Oh My!
amikor a csomag rögzíti, van egy sor kapcsolódó terminológia, amely meglehetősen gyorsan zavarossá válhat. Nézzük meg a leggyakoribb és legfontosabb kifejezéseket, amelyeket hallhat:
Csomagrögzítési formátumok
míg a csomagrögzítő eszközök, mint például a Wireshark, felhasználhatók a forgalom valós idejű ellenőrzésére, gyakoribb a rögzítések fájlba mentése későbbi elemzés céljából. Ezek a fájlok különféle formátumokban menthetők. .a pcap fájlok a leggyakoribbak, és általában kompatibilisek a hálózati analizátorok és egyéb eszközök széles skálájával. .a pcapng az egyszerűre épül .pcap formátum új mezőkkel és képességekkel, és most az alapértelmezett formátum, amikor fájlokat ment a Wireshark-ba. Egyes kereskedelmi eszközök saját formátumokat is használhatnak.
könyvtárak
az olyan könyvtárak, mint a libpcap, a winpcap és az npcap a packet capture show igazi csillagai, amelyek az operációs rendszer hálózati veremébe kapcsolódnak, és lehetővé teszik az interfészek között mozgó csomagok megtekintését. Ezen könyvtárak közül sok nyílt forráskódú projekt, így mind a kereskedelmi, mind az ingyenes csomagrögzítő eszközök széles választékában megtalálhatja őket. Bizonyos esetekben előfordulhat, hogy a könyvtárat külön kell telepítenie az eszköztől.
szűrés
a teljes csomagrögzítés elég sok helyet foglalhat el, és több erőforrást igényel a rögzítő eszköztől. A legtöbb esetben ez is túlzás – a legérdekesebb információ általában a megfigyelt teljes forgalomnak csak egy kis része. A csomagrögzítéseket gyakran szűrik, hogy kiszűrjék a releváns információkat. Ennek alapja lehet a hasznos tehertől az IP-címig a tényezők kombinációjáig.
csomagrögzítő eszközök
számos különböző eszköz áll rendelkezésre a hálózaton áthaladó csomagok rögzítésére és elemzésére. Ezeket néha csomagszippantóknak nevezik. Íme néhány a legnépszerűbb:
Wireshark
a tömör csomag eszköz, Wireshark a go-to csomag capture eszköz sok hálózati rendszergazdák, biztonsági elemzők, és amatőr geekek. Egy egyszerű GUI-val és rengeteg funkcióval a forgalom rendezésére, elemzésére és értelmezésére, a Wireshark ötvözi a könnyű használatot és a nagy teljesítményű képességeket. A Wireshark csomag tartalmaz egy TShark nevű parancssori segédprogramot is.
tcpdump
könnyű, sokoldalú, és előre telepített sok UNIX-szerű operációs rendszerek, tcpdump egy CLI junkie álma vált valóra, amikor a csomag rögzíti. Ez az opensource eszköz gyorsan rögzítheti a csomagokat későbbi elemzés céljából olyan eszközökben, mint a Wireshark, de rengeteg saját paranccsal és kapcsolóval rendelkezik, hogy értelmezze a hatalmas mennyiségű hálózati adatot.
SolarWinds Network Performance Monitor
ez a kereskedelmi eszköz már régóta kedvelt a könnyű használat, a vizualizációk és a forgalom alkalmazás szerinti osztályozásának képessége miatt. Bár az eszköz csak Windows platformokra települ, bármilyen típusú eszközről képes szippantani és elemezni a forgalmat.
ColaSoft Capsa
a ColaSoft kereskedelmi csomagszippantót készít a vállalati ügyfelek számára, de kínál egy kicsinyített kiadást is, amely a diákoknak és a hálózatba lépőknek szól. Az eszköz számos felügyeleti funkcióval büszkélkedhet, amelyek segítenek a valós idejű hibaelhárításban és elemzésben.
Kismet
a Kismet a vezeték nélküli forgalom rögzítésére és a vezeték nélküli hálózatok és eszközök észlelésére szolgáló segédprogram. A Linux, Mac és Windows platformokon elérhető eszköz a rögzítési források széles skáláját támogatja, beleértve a Bluetooth és a Zigbee rádiókat. A megfelelő beállítással csomagokat rögzíthet a hálózat összes eszközéről.
Packet Capture és Packet Sniffer használati esetek
míg a Csomagszippantó kifejezés olyan hackerek képeit idézheti elő, amelyek titokban érzékeny kommunikációba nyúlnak, a csomagszippantónak rengeteg legitim felhasználása van. Az alábbiakban bemutatunk néhány tipikus felhasználási esetet a csomagszippantók számára:
Eszközfelderítés / passzív felderítés
a csomagok természetüknél fogva tartalmazzák a forrás-és célcímeket, így a csomagrögzítés felhasználható az aktív végpontok felfedezésére egy adott hálózaton. Elegendő adattal még a végpontok ujjlenyomata is lehetséges. Ha törvényes üzleti célokra történik, ezt felfedezésnek vagy leltárnak nevezzük. A csomagrögzítés passzív jellege azonban kiváló módja annak, hogy a rosszindulatú támadók információkat gyűjtsenek a támadás további szakaszaihoz. Természetesen ugyanezt a technikát használhatják a Red teamers, akik tesztelik a szervezet biztonságát
hibaelhárítás
hálózati problémák hibaelhárításakor a tényleges hálózati forgalom ellenőrzése lehet a leghatékonyabb eszköz a probléma kiváltó okának szűkítésére. A csomagszippantók lehetővé teszik a hálózati rendszergazdák és mérnökök számára, hogy megtekintsék a hálózaton áthaladó csomagok tartalmát. Ez alapvető képesség az olyan alapvető hálózati protokollok hibaelhárításakor, mint a DHCP, az ARP és a DNS. A csomagrögzítések azonban nem fedik fel a titkosított hálózati forgalom tartalmát.
a csomagok szippantása segíthet ellenőrizni, hogy a forgalom a megfelelő útvonalon halad-e a hálózaton keresztül, és a megfelelő elsőbbséggel kezelik-e. A túlterhelt vagy megszakadt hálózati kapcsolatot gyakran könnyű észrevenni a csomagrögzítésben, mert a tipikusan kétoldalú beszélgetésnek csak az egyik oldala lesz jelen. A nagyszámú újrapróbálkozással vagy eldobott csomagokkal való kapcsolatok gyakran jelzik a túlzott kapcsolatot vagy a hálózati hardver meghibásodását.
Intrusion Detection
a gyanús hálózati forgalom csomagrögzítésként menthető, és további elemzés céljából IDS, IPS vagy SIEM megoldásba táplálható. A támadók nagy erőfeszítéseket tesznek, hogy beleolvadjanak a normál hálózati forgalomba, de a gondos ellenőrzés felfedheti a rejtett forgalmat. Az ismert rosszindulatú IP-címek, az árulkodó hasznos terhelések és más apró részletek mind támadásra utalhatnak. Még egy olyan ártalmatlan dolog is, mint a DNS-kérés, ha rendszeres időközönként megismétlődik, egy parancs-és vezérlő jelzőfény jele lehet.
Incident Response and Forensics
a Csomagrögzítés egyedülálló lehetőséget kínál az incidensre reagálók számára. A támadók lépéseket tehetnek a végpontok nyomainak lefedésére, de nem tudják visszavonni azokat a csomagokat, amelyek már áthaladtak egy hálózaton. Legyen szó rosszindulatú programról, adatszűrésről vagy más típusú eseményről, a csomagrögzítések gyakran észlelhetik a támadás jeleit, amelyeket más biztonsági eszközök elmulasztanak. Mivel a csomagfejléc mindig tartalmaz mind a forrás, mind a célcímet, az incidensre reagáló csapatok csomagrögzítéssel nyomon követhetik a támadó útját a hálózaton keresztül, vagy észlelhetik a hálózatból kiszivárgott adatok jeleit.
Csomagrögzítés előnyei és hátrányai
mint már említettük, a csomagrögzítés óriási előnyt jelent a hálózati rendszergazdák és a biztonsági csapatok számára. Ezek azonban nem az egyetlen lehetőség a hálózati forgalom megfigyelésére, és előfordulhatnak olyan esetek, amikor az SNMP vagy a NetFlow jobb választás. Itt egy pillantást néhány előnye és hátránya a csomag rögzíti:
előny: legteljesebb nézd meg a hálózati forgalom
Packet capture definíció szerint egy másolatot a tényleges csomagok áthaladó hálózat vagy hálózati kapcsolat. Ezért ez a lehető legalaposabb pillantás a hálózati forgalomra. A Packet captures nagy részletességgel rendelkezik, amely más felügyeleti megoldásokban nem érhető el, beleértve a teljes hasznos terhelést, az összes IP fejléc mezőt, és sok esetben még a capture interfészre vonatkozó információkat is. Ez lehet, hogy elfog az egyetlen életképes megoldás azokban az esetekben, amikor sok részletre van szükség.
előny: további elemzéshez menthető
a Csomagrögzítések menthetők további elemzéshez vagy ellenőrzéshez az ipari szabványban .pcap és .pcapng formátumok. Ez lehetővé teszi például a gyanús forgalom mentését egy hálózati mérnök, majd később egy biztonsági elemző áttekintését. Számos eszköz támogatja ezt a formátumot, beleértve a biztonsági elemző eszközöket is. Lehetőség van egy több órányi adatból álló csomagrögzítés mentésére is, majd egy későbbi időpontban történő felülvizsgálatra.
előny: hardver agnosztikus
az SNMP és a NetFlow egyaránt támogatást igényel a hálózati hardver szintjén. Bár mindkét technológia széles körű támogatást élvez, nem általánosan elérhetők. Különbségek lehetnek abban is, hogy az egyes gyártók hogyan hajtják végre őket. A csomagrögzítés viszont nem igényel speciális hardveres támogatást, és bármely olyan eszközről történhet, amely hozzáfér a hálózathoz.
hátrány: a nagy fájlméretek
a teljes csomagrögzítés nagy mennyiségű lemezterületet foglalhat el – egyes esetekben akár 20-szor annyi helyet is igénybe vehet, mint más opciók. Még akkor is, ha szűrést alkalmaznak, egyetlen rögzítési fájl sok gigabájt tárhelyet foglalhat el. Ez a csomagrögzítést alkalmatlanná teheti a hosszú távú tárolásra. Ezek a nagy fájlméretek hosszú várakozási időket is eredményezhetnek a .pcap egy hálózati elemző eszközben.
hátrány: túl sok információ
míg a csomagfelvételek nagyon teljes képet nyújtanak a hálózati forgalomról, gyakran túl átfogóak. A releváns információk gyakran elveszhetnek hatalmas mennyiségű adatban. Az elemző eszközök rendelkeznek funkciókkal a rögzítési fájlok rendezése, rendezése és szűrése, de sok felhasználási esetet jobban szolgálhatnak más lehetőségek. Gyakran lehetséges a hálózat hibaelhárítása vagy a támadás jeleinek észlelése a hálózati forgalom más felügyeleti megoldásokban elérhető összesített verzióival. Az egyik általános megközelítés az, hogy egy olyan technológiát használnak, mint a NetFlow, hogy figyelemmel kísérjék az összes forgalmat, és szükség szerint teljes csomagfelvételre forduljanak.
hátrány: rögzített mezők
a NetFlow legfrissebb iterációi testreszabható rekordokat tesznek lehetővé, ami azt jelenti, hogy a hálózati rendszergazdák kiválaszthatják, hogy milyen információkat rögzítsenek. Mivel a csomagrögzítés az IP-csomag meglévő struktúráján alapul, nincs hely a testreszabásra. Lehet, hogy ez nem jelent problémát, de a használati esettől függően előfordulhat, hogy nincs szükség az IP-csomag összes mezőjének rögzítésére.
következtetés
a Csomagrögzítés hibaelhárítási és biztonsági szempontból felbecsülhetetlen értékű, de soha nem lehet az egyetlen eszköz, amelyre egy hálózati rendszergazda vagy biztonsági mérnök támaszkodik. A titkosítás fokozott használata mind legitim, mind illegitim célokra korlátozza az olyan eszközök hatékonyságát, mint a Wireshark. Packet rögzíti is nem adnak incidens válaszadók sok ötlet, hogy milyen intézkedések történtek a fogadó. Fájlokat lehetett volna módosítani, folyamatok rejtett, és az új felhasználói fiókok létrehozása nélkül egyetlen csomagot. A Varonis Adatvédelmi platform adatközpontú képet nyújt a szervezetéről, amely képes észrevenni a hálózatban észrevétlen fenyegetéseket. Mint mindig, győződjön meg róla, hogy a hálózatában mélyreható és bevált gyakorlatokat alkalmaz. Ha készen áll a Varonis hozzáadására a biztonsági eszközök kiegészítéséhez, ütemezzen be egy-egy demót!