Packet Capture: Cos’è e cosa devi sapere
Packet capture è uno strumento vitale utilizzato per mantenere le reti operative in modo sicuro ed efficiente. Nelle mani sbagliate, può anche essere utilizzato per rubare dati sensibili come nomi utente e password. In questo post, ci immergeremo in ciò che una cattura di pacchetti è, come funziona, che tipo di strumenti vengono utilizzati, e guardare alcuni casi d’uso di esempio.
- Che cos’è la cattura dei pacchetti?
- Come funziona Packet Capture?
- Come leggere una cattura di pacchetti
- Formati, librerie e filtri, oh mio!
- Packet Capture Tools
- Packet Capture and Packet Sniffer Use Cases
- Packet Capture Vantaggi e svantaggi
Che cos’è Packet Capture?
L’acquisizione di pacchetti si riferisce all’azione di acquisizione di pacchetti IP (Internet Protocol) per la revisione o l’analisi. Il termine può anche essere usato per descrivere i file che packet capture tools output, che vengono spesso salvati nel .formato pcap. L’acquisizione dei pacchetti è una tecnica di risoluzione dei problemi comune per gli amministratori di rete e viene anche utilizzata per esaminare il traffico di rete per le minacce alla sicurezza. A seguito di una violazione dei dati o di un altro incidente, le acquisizioni di pacchetti forniscono indizi forensi vitali che aiutano le indagini. Dal punto di vista di un attore di minacce, le acquisizioni di pacchetti potrebbero essere utilizzate per rubare password e altri dati sensibili. A differenza delle tecniche di ricognizione attiva come la scansione delle porte, l’acquisizione dei pacchetti può essere eseguita senza lasciare alcuna traccia per gli investigatori.
Come funziona Packet Capture?
C’è più di un modo per prendere un pacchetto! Le acquisizioni di pacchetti possono essere effettuate da un dispositivo di rete come un router o uno switch, da un hardware dedicato chiamato tap, dal laptop o desktop di un analista e persino da dispositivi mobili. L’approccio utilizzato dipende dall’obiettivo finale. Indipendentemente dall’approccio utilizzato, packet capture funziona creando copie di alcuni o tutti i pacchetti che passano attraverso un determinato punto della rete.
Catturare pacchetti dalla propria macchina è il modo più semplice per iniziare, ma ci sono alcuni avvertimenti. Per impostazione predefinita, le interfacce di rete prestano attenzione solo al traffico destinato a loro. Per una visione più completa del traffico di rete, ti consigliamo di mettere l’interfaccia in modalità promiscua o modalità monitor. Tieni presente che questo approccio acquisirà anche una visione limitata della rete; su una rete cablata, ad esempio, vedrai solo il traffico sulla porta dello switch locale a cui è connessa la tua macchina.
Su un router o switch, le funzionalità note come port mirroring, port monitoring e switched port analyzer (SPAN) consentono agli amministratori di rete di duplicare il traffico di rete e inviarlo a una porta specificata, in genere per esportare pacchetti in una soluzione di monitoraggio dedicata. Molti switch e router di livello enterprise hanno ora una funzione di acquisizione dei pacchetti incorporata che può essere utilizzata per risolvere rapidamente i problemi direttamente dalla CLI o dall’interfaccia Web del dispositivo. Altri tipi di apparecchiature di rete come firewall e punti di accesso wireless hanno anche comunemente funzionalità di acquisizione dei pacchetti.
Se stai eseguendo una cattura di pacchetti su una rete particolarmente grande o occupata, un tocco di rete dedicato potrebbe essere l’opzione migliore. I rubinetti sono il modo più costoso per catturare i pacchetti, ma non introducono alcuna penalità in termini di prestazioni poiché sono hardware dedicato.
Come leggere una cattura di pacchetti
Al fine di comprendere e analizzare una cattura di pacchetti, avrete bisogno di alcune conoscenze fondamentali dei concetti di base di rete, in particolare il modelloSI. Mentre ci possono essere differenze tra strumenti specifici, cattura pacchetti sarà sempre costituito da un payload e alcune intestazioni. Il carico utile è costituito dai dati effettivi trasferiti-questo potrebbe essere bit di un film in streaming, e-mail, ransomware, o qualsiasi altra cosa che attraversa una rete. Le intestazioni dei pacchetti contengono tutte le informazioni critiche che aiutano le apparecchiature di rete a decidere cosa fare con ciascun pacchetto. I più importanti sono gli indirizzi di origine e di destinazione, ma i pacchetti IP hanno un totale di intestazioni 14 che coprono tutto, dalla classe di servizio al tipo di protocollo. Un analista di rete professionale avrà una conoscenza dettagliata di tutti questi campi, ma una comprensione generale della struttura dei pacchetti è tutto ciò che serve per iniziare a risolvere i problemi di prestazioni o imparare di più su come funzionano le reti.
Versione | Lunghezza dell’Intestazione | Valore DSCP | ECN | Lunghezza Totale del Pacchetto |
Identificazione | Flag | Fragment Offset | ||
Time to Live (TTL) | Protocollo | Intestazione del Checksum | ||
l’Indirizzo IP di Origine |
||||
Indirizzo IP di Destinazione |
||||
Opzionale |
Oltre indirizzi di sorgente e destinazione, alcuni dei più importanti campi da una risoluzione dei problemi la prospettiva può includere DSCP (Differentiated Services Code Point), flag e TTL. DSCP viene utilizzato per garantire la qualità del servizio (QoS), ed è un campo importante per il traffico in tempo reale come Voice over IP (VoIP). I flag sono spesso utilizzati per controllare la frammentazione dei pacchetti e possono diventare un problema quando un pacchetto con il flag Non frammentare supera anche la dimensione massima dell’unità di trasmissione (MTU) di un collegamento di rete. I valori TTL vengono decrementati dopo ogni hop e possono fornire importanti indizi sul percorso di un pacchetto attraverso la rete.
Per i tipi di traffico non crittografati, gli sniffer di pacchetti possono scavare più a fondo delle intestazioni e ispezionare il payload effettivo. Questo può essere incredibilmente utile per la risoluzione dei problemi di rete, ma è anche un potenziale problema di sicurezza quando sono presenti dati sensibili come nomi utente e password. Comprendere il significato dietro il payload di un pacchetto può richiedere la conoscenza del protocollo in uso.
Le applicazioni di acquisizione di pacchetti e analisi di rete includono spesso strumenti per filtrare, visualizzare e ispezionare grandi quantità di dati. Questi strumenti consentono un’analisi che non è possibile attraverso l’ispezione manuale di una cattura di pacchetti. I file di acquisizione possono anche essere inseriti in un sistema di rilevamento delle intrusioni / sistemi di protezione (IDS / IPS), informazioni di sicurezza e sistema di gestione degli eventi (SIEM), o altri tipi di prodotti di sicurezza per cercare i segni di un attacco o violazione dei dati.
Formati, librerie e filtri, Oh mio!
Quando si tratta di acquisizione di pacchetti, c’è una serie di terminologia correlata che può confondersi piuttosto rapidamente. Analizziamo alcuni dei termini più comuni e importanti che potresti sentire:
Formati di acquisizione pacchetti
Mentre strumenti di acquisizione pacchetti come Wireshark possono essere utilizzati per ispezionare il traffico in tempo reale, è più comune salvare le catture in un file per un’analisi successiva. Questi file possono essere salvati in una varietà di formati. .i file pcap sono i più comuni e sono generalmente compatibili con una vasta gamma di analizzatori di rete e altri strumenti. .pcapng si basa sul semplice .formato pcap con nuovi campi e funzionalità ed è ora il formato predefinito quando si salvano i file in Wireshark. Alcuni strumenti commerciali possono anche utilizzare formati proprietari.
Librerie
Librerie come libpcap, winpcap e npcap sono le vere star del packet capture show, collegandosi allo stack di rete di un sistema operativo e fornendo la capacità di peer in pacchetti che si muovono tra le interfacce. Molte di queste librerie sono progetti open source, quindi potresti trovarle in un’ampia varietà di strumenti di acquisizione di pacchetti sia commerciali che gratuiti. In alcuni casi, potrebbe essere necessario installare la libreria separatamente dallo strumento.
Filtraggio
L’acquisizione completa dei pacchetti può richiedere un po ‘ di spazio e richiedere più risorse dal dispositivo di acquisizione. È anche eccessivo nella maggior parte dei casi: le informazioni più interessanti sono in genere solo una piccola parte del traffico totale osservato. Le catture di pacchetti vengono spesso filtrate per eliminare le informazioni pertinenti. Questo può essere basato su tutto, dal payload all’indirizzo IP a una combinazione di fattori.
Packet Capture Tools
Un gran numero di strumenti diversi sono disponibili per catturare e analizzare i pacchetti che attraversano la rete. Questi sono talvolta noti come sniffer di pacchetti. Ecco alcuni dei più popolari:
Wireshark
Lo strumento pacchetto quintessenza, Wireshark è il go-to strumento di acquisizione dei pacchetti per molti amministratori di rete, analisti di sicurezza, e geek dilettanti. Con una GUI semplice e tonnellate di funzioni per l’ordinamento, l’analisi e il senso del traffico, Wireshark combina facilità d’uso e potenti funzionalità. Il pacchetto Wireshark include anche un’utilità da riga di comando chiamata tshark.
tcpdump
Leggero, versatile e preinstallato su molti sistemi operativi UNIX-like, tcpdump è il sogno di un drogato di CLI quando si tratta di acquisizione di pacchetti. Questo strumento opensource può catturare rapidamente i pacchetti per un’analisi successiva in strumenti come Wireshark, ma ha molti comandi e switch per dare un senso a vaste somme di dati di rete.
SolarWinds Network Performance Monitor
Questo strumento commerciale è stato a lungo uno dei preferiti per la sua facilità d’uso, visualizzazioni, e la capacità di classificare il traffico per applicazione. Anche se lo strumento si installa solo su piattaforme Windows, può annusare e analizzare il traffico da qualsiasi tipo di dispositivo.
ColaSoft Capsa
ColaSoft crea uno sniffer di pacchetti commerciale rivolto ai clienti aziendali, ma offre anche un’edizione ridotta destinata agli studenti e a coloro che si sono appena messi in rete. Lo strumento vanta una varietà di funzioni di monitoraggio per aiutare nella risoluzione dei problemi e analisi in tempo reale.
Kismet
Kismet è un’utilità dedicata alla cattura del traffico wireless e alla rilevazione di reti e dispositivi wireless. Disponibile per piattaforme Linux, Mac e Windows, questo strumento supporta un’ampia gamma di sorgenti di acquisizione, tra cui radio Bluetooth e Zigbee. Con la giusta configurazione, è possibile acquisire pacchetti da tutti i dispositivi sulla rete.
Casi d’uso di Packet Capture e Packet Sniffer
Mentre il termine Packet Sniffer può evocare immagini di hacker che attingono segretamente a comunicazioni sensibili, ci sono molti usi legittimi per uno sniffer di pacchetti. Di seguito sono riportati alcuni casi d’uso tipici per gli sniffer di pacchetti:
Asset Discovery/Passive Reconnaissance
I pacchetti per loro stessa natura includono indirizzi di origine e destinazione, quindi una cattura di pacchetti può essere utilizzata per scoprire endpoint attivi su una determinata rete. Con dati sufficienti, è persino possibile impronte digitali degli endpoint. Quando fatto per scopi commerciali legittimi, questo è chiamato scoperta o inventario. Tuttavia, la natura passiva di una cattura di pacchetti lo rende un ottimo modo per gli aggressori malintenzionati per raccogliere informazioni per ulteriori fasi di un attacco. Naturalmente, la stessa tecnica può essere utilizzata dai red teamers che testano la sicurezza di un’organizzazione
Risoluzione dei problemi
Quando si risolvono i problemi di rete, l’ispezione del traffico di rete effettivo può essere il mezzo più efficace per ridurre la causa principale di un problema. Gli sniffer di pacchetti consentono agli amministratori di rete e agli ingegneri di visualizzare il contenuto dei pacchetti che attraversano la rete. Questa è una funzionalità essenziale per la risoluzione dei problemi dei protocolli di rete fondamentali come DHCP, ARP e DNS. Le acquisizioni di pacchetti non rivelano tuttavia il contenuto del traffico di rete crittografato.
Lo sniffing dei pacchetti può aiutare a verificare che il traffico stia seguendo il percorso corretto attraverso la rete e sia trattato con la precedenza corretta. Un collegamento di rete congestionato o interrotto è spesso facile da individuare in una cattura di pacchetti perché solo un lato di una conversazione tipicamente bilaterale sarà presente. Le connessioni con un numero elevato di tentativi o pacchetti eliminati sono spesso indicative di un collegamento abusato o di un hardware di rete in errore.
Rilevamento delle intrusioni
Il traffico di rete sospetto può essere salvato come acquisizione di pacchetti e inserito in una soluzione IDS, IPS o SIEM per ulteriori analisi. Gli aggressori fanno di tutto per integrarsi con il normale traffico di rete, ma un’attenta ispezione può scoprire il traffico segreto. Indirizzi IP malevoli noti, payload rivelatori e altri dettagli minuti possono essere indicativi di un attacco. Anche qualcosa di innocuo come una richiesta DNS, se ripetuto a intervalli regolari, potrebbe essere un segno di un beacon di comando e controllo.
Incident Response and Forensics
Le acquisizioni di pacchetti offrono un’opportunità unica per i rispondenti agli incidenti. Gli aggressori possono adottare misure per coprire le loro tracce sugli endpoint, ma non possono annullare l’invio di pacchetti che hanno già attraversato una rete. Che si tratti di malware, di esfiltrazione dei dati o di qualche altro tipo di incidente, le acquisizioni di pacchetti possono spesso individuare i segni di un attacco che altri strumenti di sicurezza mancano. Poiché un’intestazione di pacchetto conterrà sempre sia un indirizzo di origine che di destinazione, i team di risposta agli incidenti possono utilizzare le acquisizioni di pacchetti per tracciare il percorso di un utente malintenzionato attraverso la rete o individuare i segni di esfiltrazione dei dati dalla rete.
Vantaggi e svantaggi della cattura dei pacchetti
Come già affermato, la cattura dei pacchetti è una risorsa straordinaria per gli amministratori di rete e i team di sicurezza. Tuttavia, non sono l’unica opzione per monitorare il traffico di rete e potrebbero esserci casi in cui cose come SNMP o NetFlow sono scelte migliori. Ecco alcuni dei vantaggi e degli svantaggi dell’utilizzo delle catture di pacchetti:
Vantaggio: Sguardo più completo al traffico di rete
La cattura di pacchetti è per definizione una copia duplicata dei pacchetti effettivi che attraversano una rete o un collegamento di rete. E’, quindi, lo sguardo più approfondita al traffico di rete possibile. Le acquisizioni di pacchetti contengono un grande livello di dettaglio non disponibile in altre soluzioni di monitoraggio, incluso il payload completo, tutti i campi di intestazione IP e in molti casi anche informazioni sull’interfaccia di acquisizione. Ciò può rendere l’acquisizione l’unica soluzione praticabile nei casi in cui è richiesto un sacco di dettagli.
Vantaggio: può essere salvato per ulteriori analisi
Le catture di pacchetti possono essere salvate per ulteriori analisi o ispezioni in standard di settore .pcap e .formati pcapng. Ciò consente, ad esempio, che il traffico sospetto venga salvato da un tecnico di rete e successivamente esaminato da un analista della sicurezza. Un’ampia varietà di strumenti supporta questo formato, inclusi gli strumenti di analisi della sicurezza. È anche possibile salvare una cattura di pacchetti composta da diversi ore di dati e rivederla in un secondo momento.
Vantaggio: agnostico hardware
SNMP e NetFlow richiedono entrambi il supporto a livello di hardware di rete. Mentre entrambe le tecnologie godono di un ampio supporto, non sono universalmente disponibili. Ci possono anche essere differenze nel modo in cui ogni fornitore li implementa. L’acquisizione dei pacchetti, d’altra parte, non richiede supporto hardware specializzato e può avvenire da qualsiasi dispositivo che abbia accesso alla rete.
Svantaggio: file di grandi dimensioni
L’acquisizione completa dei pacchetti può occupare grandi quantità di spazio su disco – in alcuni casi fino a 20 volte più spazio di altre opzioni. Anche quando viene applicato il filtro, un singolo file di acquisizione può occupare molti gigabyte di spazio di archiviazione. Ciò può rendere le catture di pacchetti inadatte per l’archiviazione a lungo termine. Queste dimensioni di file di grandi dimensioni possono anche comportare lunghi tempi di attesa quando si apre un .pcap in uno strumento di analisi di rete.
Svantaggio: Troppe informazioni
Mentre i pacchetti catturano per fornire uno sguardo molto completo al traffico di rete, sono spesso troppo completi. Le informazioni rilevanti possono spesso perdersi in vaste somme di dati. Gli strumenti di analisi dispongono di funzionalità per ordinare, ordinare e filtrare i file di acquisizione, ma molti casi d’uso potrebbero essere meglio serviti da altre opzioni. Spesso è possibile risolvere i problemi di una rete o individuare i segni di un attacco con solo le versioni riassunte del traffico di rete disponibili in altre soluzioni di monitoraggio. Un approccio comune consiste nell’utilizzare una tecnologia come NetFlow per monitorare tutto il traffico e passare a una cattura completa dei pacchetti, se necessario.
Svantaggio: Campi fissi
Le iterazioni più recenti di NetFlow consentono record personalizzabili, il che significa che gli amministratori di rete possono scegliere quali informazioni acquisire. Poiché l’acquisizione di un pacchetto si basa sulla struttura esistente di un pacchetto IP, non c’è spazio per la personalizzazione. Questo potrebbe non essere un problema, ma ancora una volta a seconda del caso d’uso potrebbe non essere necessario acquisire tutti i campi di un pacchetto IP.
Conclusione
La cattura dei pacchetti è preziosa dal punto di vista della risoluzione dei problemi e della sicurezza, ma non dovrebbe mai essere l’unico strumento su cui si basa un amministratore di rete o un ingegnere della sicurezza. Il maggiore uso della crittografia per scopi legittimi e illegittimi limita l’efficacia di strumenti come Wireshark. Anche le catture di pacchetti non danno ai rispondenti agli incidenti un’idea di quali azioni hanno avuto luogo su un host. I file potrebbero essere stati modificati, processi nascosti, e nuovi account utente creati senza generare un singolo pacchetto. La piattaforma Varonis Data Protection fornisce una vista incentrata sui dati della tua organizzazione in grado di individuare le minacce che non vengono rilevate nella rete. Come sempre, assicurarsi di impiegare difesa-in-depth e best practice nella vostra rete. E quando sei pronto per aggiungere Varonis al tuo complemento di strumenti di sicurezza, pianifica una demo one-to-one!