januari 20, 2022

Packet Capture: Wat is het en wat u moet weten

Packet capture is een essentieel hulpmiddel om netwerken veilig en efficiënt te laten werken. In de verkeerde handen, het kan ook worden gebruikt om gevoelige gegevens zoals gebruikersnamen en wachtwoorden te stelen. In dit bericht, we zullen duiken in wat een packet capture is, hoe het werkt, wat voor soort tools worden gebruikt, en kijken naar een aantal voorbeelden use cases.

  • Wat is Packet Capture?
  • Hoe Werkt Pakketopname?
  • een pakketopname lezen
  • formaten, Bibliotheken en Filters, Oh mijn!
  • Packet Capture Tools
  • Packet Capture and Packet Sniffer Use Cases
  • Packet Capture voor-en nadelen

Wat is Packet Capture?

Packet Capture verwijst naar de actie van het vastleggen van Internet Protocol (IP) pakketten voor beoordeling of analyse. De term kan ook worden gebruikt om de bestanden die packet capture tools output te beschrijven, die vaak worden opgeslagen in de .pcap-formaat. Het vastleggen van pakketten is een veel voorkomende probleemoplossingstechniek voor netwerkbeheerders, en wordt ook gebruikt om netwerkverkeer te onderzoeken op beveiligingsrisico ‘ s. Na een datalek of ander incident, packet captures bieden vitale forensische aanwijzingen die onderzoek helpen. Vanuit het perspectief van een bedreiging acteur, packet captures kunnen worden gebruikt om wachtwoorden en andere gevoelige gegevens te stelen. In tegenstelling tot actieve verkenningstechnieken zoals port scanning, kan het vastleggen van pakketten worden bereikt zonder sporen achter te laten voor onderzoekers.

Hoe Werkt Packet Capture?

er is meer dan één manier om een pakket te vangen! Packet captures kunnen worden gedaan van een stuk van netwerkapparatuur zoals een router of switch, van een speciaal stuk hardware genaamd Een tap, van een laptop of desktop van een analist, en zelfs van mobiele apparaten. De gebruikte aanpak is afhankelijk van het einddoel. Het maakt niet uit welke aanpak wordt gebruikt, packet capture werkt door kopieën te maken van sommige of alle pakketten die door een bepaald punt in het netwerk gaan.

het vastleggen van pakketten vanaf uw eigen machine is de makkelijkste manier om te beginnen, maar er zijn een paar kanttekeningen. Standaard besteden netwerkinterfaces alleen aandacht aan verkeer dat voor hen bestemd is. Voor een vollediger beeld van het netwerkverkeer, wilt u de interface in promiscuous mode of monitor mode zetten. Houd er rekening mee dat deze aanpak ook een beperkte weergave van het netwerk zal vastleggen; op een bekabeld netwerk, bijvoorbeeld, zult u alleen verkeer zien op de lokale switch poort waarmee uw machine is verbonden.

op een router of switch staan functies die bekend staan als port mirroring, port monitoring en switched port analyzer (SPAN) netwerkbeheerders toe om netwerkverkeer te dupliceren en naar een opgegeven poort te sturen, meestal om pakketten te exporteren naar een speciale monitoringoplossing. Veel enterprise-grade switches en routers hebben nu een embedded packet capture functie die kan worden gebruikt om snel problemen op te lossen vanaf de CLI of webinterface van het apparaat. Andere soorten netwerkapparatuur zoals firewalls en draadloze toegangspunten hebben ook vaak packet capture functionaliteit.

als u een pakketopname uitvoert op een bijzonder groot of druk netwerk, is een speciale netwerktap misschien de beste optie. Kranen zijn de duurste manier om pakketten vast te leggen, maar introduceren geen prestatie boete omdat ze dedicated hardware zijn.

een Packet Capture lezen

om een packet capture te begrijpen en te analyseren, hebt u enige fundamentele kennis nodig van basis netwerkconcepten, met name het OSI-model. Hoewel er verschillen kunnen zijn tussen specifieke tools, zullen pakketopnames altijd bestaan uit een payload en een aantal headers. De payload bestaat uit de werkelijke gegevens worden overgedragen – dit kan stukjes van een streaming film, e-mails, ransomware, of iets anders doorkruisen een netwerk. Pakketheaders bevatten alle belangrijke informatie die netwerkapparatuur helpt te beslissen wat ze met elk pakket moeten doen. Het belangrijkste zijn de bron-en doeladressen, maar IP-pakketten hebben in totaal 14 headers die alles van Service-Klasse tot protocoltype bestrijken. Een professionele netwerkanalist zal gedetailleerde kennis hebben van al deze velden, maar een algemeen begrip van pakketstructuur is alles wat nodig is om aan de slag te gaan met het oplossen van problemen met de prestaties of meer te leren over hoe netwerken werken.

Versie Lengte van de Header DSCP-Waarde ECN Totaal Pakket Lengte
Identificatie Flags Fragment Offset
TTL (Time to Live) Protocol Header Checksum

Bron-IP-Adres

doel-IP-Adres

Optioneel

Afgezien van bron-en doeladressen, enkele van de belangrijkste velden van het oplossen van problemen perspectief kan Differential Services Code Point (DSCP), Flags en TTL bevatten. DSCP wordt gebruikt om de kwaliteit van de dienstverlening (QoS) te waarborgen, en is een belangrijk gebied voor real-time verkeer zoals Voice over IP (VoIP). Vlaggen worden meestal gebruikt om pakketfragmentatie te controleren en kunnen een probleem worden wanneer een pakket met de Vlag niet fragmenteren ook de maximale Transmission Unit (MTU) grootte van een netwerkverbinding overschrijdt. TTL-waarden worden na elke hop afgebroken en kunnen belangrijke aanwijzingen geven over het pad van een pakket door het netwerk.

voor niet-versleutelde soorten verkeer kunnen pakketsniffers dieper graven dan alleen de headers en de werkelijke lading inspecteren. Dit kan ongelooflijk nuttig zijn voor het oplossen van netwerkproblemen, maar is ook een potentieel beveiligingsprobleem wanneer gevoelige gegevens zoals gebruikersnamen en wachtwoorden aanwezig zijn. Het begrijpen van de betekenis achter de payload van een pakket kan kennis van het gebruikte protocol vereisen.

Packet capture en netwerk analyse toepassingen bevatten vaak tools om grote hoeveelheden gegevens te filteren, visualiseren en inspecteren. Deze tools maken analyse mogelijk die niet mogelijk is door handmatige inspectie van een pakketopname. Capture-bestanden kunnen ook worden ingevoerd in een Intrusion Detection System / Protection Systems (IDS/IPS), Security Information and Event Management System (SIEM), of andere soorten beveiligingsproducten om te zoeken naar tekenen van een aanval of datalek.

formaten, Bibliotheken en Filters, Oh My!

als het gaat om pakketopnames, is er een reeks verwante terminologie die vrij snel verwarrend kan worden. Laten we een aantal van de meest voorkomende en belangrijke termen die je zou kunnen horen:

Packet Capture formaten

hoewel packet capture tools zoals Wireshark kunnen worden gebruikt om het verkeer in real-time te inspecteren, is het meer gebruikelijk om captures op te slaan in een bestand voor latere analyse. Deze bestanden kunnen worden opgeslagen in een verscheidenheid van formaten. .pcap bestanden zijn de meest voorkomende en zijn over het algemeen compatibel met een breed scala van netwerk analyzers en andere tools. .pcapng bouwt voort op de eenvoudige .PCAP formaat met nieuwe velden en mogelijkheden en is nu de standaard formaat bij het opslaan van bestanden in Wireshark. Sommige commerciële tools kunnen ook gebruik maken van eigen formaten.

bibliotheken

bibliotheken zoals libpcap, winpcap en npcap zijn de echte sterren van de packet capture show, die aansluiten op de netwerkstack van een besturingssysteem en de mogelijkheid bieden om te peeren in pakketten die tussen interfaces bewegen. Veel van deze bibliotheken zijn open-source projecten, dus je kunt ze vinden in een breed scala van zowel commerciële en gratis packet capture tools. In sommige gevallen moet u de bibliotheek afzonderlijk van het gereedschap installeren.

filteren

volledige packet capture kan nogal wat ruimte in beslag nemen en meer middelen van het opnameapparaat vereisen. Het is ook overkill in de meeste gevallen-de meest interessante informatie is meestal slechts een klein deel van het totale verkeer wordt waargenomen. Packet captures worden vaak gefilterd om de relevante informatie te verwijderen. Dit kan worden gebaseerd op alles van de payload tot IP-adres tot een combinatie van factoren.

Packet Capture Tools

een groot aantal verschillende tools zijn beschikbaar voor het vastleggen en analyseren van de pakketten die uw netwerk doorkruisen. Deze worden ook wel packet sniffers genoemd. Hier zijn enkele van de meest populaire:

Wireshark

het ultieme pakket Gereedschap, Wireshark is de go-to pakket capture tool voor veel netwerkbeheerders, security analisten, en amateur geeks. Met een eenvoudige GUI en tal van functies voor het sorteren, analyseren en het maken van zin van het verkeer, Wireshark combineert gebruiksgemak en krachtige mogelijkheden. Het Wireshark pakket bevat ook een command-line utility genaamd tshark.

tcpdump

lichtgewicht, veelzijdig en vooraf geà nstalleerd op veel UNIX-achtige besturingssystemen, tcpdump is een CLI junkie ‘ s droom die uitkomt als het gaat om packet captures. Deze opensource tool kan snel pakketten vastleggen voor latere analyse in tools zoals Wireshark, maar heeft veel van zijn eigen commando ‘ s en schakelaars om zin te maken van enorme sommen netwerkgegevens.

SolarWinds Network Performance Monitor

deze commerciële tool is al lang een favoriet vanwege zijn gebruiksgemak, visualisaties en de mogelijkheid om verkeer te classificeren per toepassing. Hoewel de tool alleen installeert op Windows-platforms, kan het verkeer ruiken en analyseren van elk type apparaat.

ColaSoft Capsa

ColaSoft maakt een commercial packet sniffer gericht op zakelijke klanten, maar biedt ook een ingeperkte editie gericht op studenten en degenen die net beginnen met netwerken. De tool beschikt over een verscheidenheid aan monitoring functies om te helpen bij real-time probleemoplossing en analyse.

Kismet

Kismet is een hulpprogramma voor het vastleggen van draadloos verkeer en het detecteren van draadloze netwerken en apparaten. Beschikbaar voor Linux, Mac en Windows-platforms, deze tool ondersteunt een breed scala aan capture bronnen, waaronder Bluetooth en Zigbee radio ‘ s. Met de juiste setup kunt u pakketten vastleggen van alle apparaten op het netwerk.

Packet Capture en Packet Sniffer Use Cases

terwijl de term Packet Sniffer kan oproepen beelden van hackers heimelijk tikken in gevoelige communicatie, er zijn tal van legitieme toepassingen voor een packet sniffer. De volgende voorbeelden zijn typische use cases voor pakketsniffers:

Asset Discovery / Passive Reconnaissance

pakketten bevatten door hun aard bron-en bestemmingsadressen, zodat een pakketopname kan worden gebruikt om actieve eindpunten op een bepaald netwerk te ontdekken. Met genoeg gegevens is het zelfs mogelijk om de eindpunten te vingerafdruk. Wanneer gedaan voor legitieme zakelijke doeleinden, Dit wordt discovery of inventaris genoemd. Echter, de passieve aard van een packet capture maakt het een uitstekende manier voor kwaadaardige aanvallers om informatie te verzamelen voor verdere stadia van een aanval. Natuurlijk kan dezelfde techniek worden gebruikt door red teamers die de beveiliging van een organisatie testen

problemen oplossen

wanneer problemen met het netwerk worden opgelost, kan het inspecteren van het werkelijke netwerkverkeer de meest effectieve manier zijn om de oorzaak van een probleem te verkleinen. Met pakketsniffers kunnen netwerkbeheerders en ingenieurs de inhoud bekijken van pakketten die het netwerk doorkruisen. Dit is een essentiële mogelijkheid bij het oplossen van problemen met fundamentele netwerkprotocollen zoals DHCP, ARP en DNS. Pakketopnames onthullen echter niet de inhoud van Versleuteld netwerkverkeer.

Sniffing-pakketten kunnen helpen controleren of verkeer het juiste pad over het netwerk neemt en met de juiste voorrang wordt behandeld. Een overbelaste of gebroken netwerkverbinding is vaak gemakkelijk te herkennen in een packet capture omdat slechts één kant van een typisch tweezijdig gesprek aanwezig zal zijn. Verbindingen met een groot aantal pogingen of gevallen pakketten zijn vaak een indicatie van een overgebruikte link of falende netwerk hardware.

Intrusion Detection

verdacht netwerkverkeer kan worden opgeslagen als pakketopname en worden ingevoerd in een IDS, IPS of Siem-oplossing voor verdere analyse. Aanvallers gaan tot het uiterste om op te gaan met normaal netwerkverkeer, maar een zorgvuldige inspectie kan verborgen verkeer blootleggen. Bekende kwaadaardige IP-adressen, telltale payloads en andere minutieuze details kunnen allemaal wijzen op een aanval. Zelfs iets zo onschuldig als een DNS-verzoek, indien herhaald met een regelmatige interval, kan een teken van een commando en controle baken zijn.

incidentrespons en forensisch onderzoek

Pakketopnames bieden een unieke kans voor incidentresponders. Aanvallers kunnen stappen ondernemen om hun sporen te wissen op endpoints, maar ze kunnen pakketten die al een netwerk hebben doorkruist niet ongedaan maken. Of het nu malware, data exfiltration, of een ander soort incident, packet captures kunnen vaak tekenen van een aanval die andere security tools missen herkennen. Omdat een pakketheader altijd zowel een bron-als een bestemmingsadres zal bevatten, kunnen incident response teams pakketopnames gebruiken om het pad van een aanvaller door het netwerk te traceren, of tekenen van gegevens die uit het netwerk worden geëxfiltreerd herkennen.

Packet Capture voor-en nadelen

zoals reeds vermeld, zijn pakket captures een enorme aanwinst voor netwerkbeheerders en beveiligingsteams. Ze zijn niet de enige optie voor het monitoren van netwerkverkeer, echter, en er kunnen gevallen zijn waarin dingen zoals SNMP of NetFlow zijn betere keuzes. Hier is een blik op enkele van de voor-en nadelen van het gebruik van pakketopnames:

voordeel: meest Complete blik op netwerkverkeer

Pakketopnames zijn per definitie een duplicaat van de daadwerkelijke pakketten die een netwerk of netwerkverbinding doorkruisen. Het is daarom de meest grondige blik op het netwerkverkeer mogelijk. Packet captures bevatten een groot detailniveau dat niet beschikbaar is in andere bewakingsoplossingen, waaronder volledige payload, alle IP-headervelden en in veel gevallen zelfs informatie over de capture-interface. Dit kan het vastleggen van de enige haalbare oplossing in gevallen waarin veel detail is vereist.

voordeel: kan worden opgeslagen voor verdere analyse

Pakketopnames kunnen worden opgeslagen voor verdere analyse of inspectie in industriestandaard .pcap en .PCAPNG-formaten. Hierdoor kan bijvoorbeeld verdacht verkeer worden opgeslagen door een netwerkingenieur en later worden beoordeeld door een beveiligingsanalist. Een breed scala aan tools ondersteunen dit formaat, waaronder security analysis tools. Het is ook mogelijk om een packet capture bestaande uit enkele uren aan gegevens op te slaan en te bekijken op een later moment in de tijd.

voordeel: Hardware-agnostisch

SNMP en NetFlow hebben beide ondersteuning nodig op netwerkhardwareniveau. Hoewel beide technologieën brede ondersteuning genieten, zijn ze niet universeel beschikbaar. Er kunnen ook verschillen zijn in de manier waarop elke leverancier ze implementeert. Packet capture, aan de andere kant, vereist geen gespecialiseerde hardware-ondersteuning en kan plaatsvinden vanaf elk apparaat dat toegang heeft tot het netwerk.

nadeel: grote bestandsgroottes

volledige packet capture kan grote hoeveelheden schijfruimte innemen – in sommige gevallen tot 20 keer zoveel ruimte als andere opties. Zelfs wanneer filtering wordt toegepast, kan een enkel capture-bestand vele gigabytes aan opslagruimte in beslag nemen. Dit kan pakketopnames ongeschikt maken voor langdurige opslag. Deze grote bestandsgroottes kunnen ook resulteren in lange wachttijden bij het openen van een .pcap in een netwerk analyse tool.

nadeel: te veel informatie

terwijl packet captures om een zeer volledige blik op het netwerkverkeer te bieden, ze zijn vaak te uitgebreid. Relevante informatie kan vaak verloren gaan in enorme hoeveelheden gegevens. Analysetools hebben functies volgorde, sorteren en filteren capture-bestanden, maar veel use cases kunnen beter worden bediend door andere opties. Het is vaak mogelijk om problemen op te lossen een netwerk of spot tekenen van een aanval met alleen de samengevatte versies van netwerkverkeer beschikbaar in andere monitoring oplossingen. Een gemeenschappelijke aanpak is om een technologie zoals NetFlow te gebruiken om al het verkeer te monitoren en om te schakelen naar een volledige pakketopname als dat nodig is.

nadeel: vaste velden

de meest recente iteraties van NetFlow maken aanpasbare records mogelijk, wat betekent dat netwerkbeheerders kunnen kiezen welke informatie ze willen vastleggen. Omdat een pakketopname gebaseerd is op de bestaande structuur van een IP-pakket, is er geen ruimte voor aanpassing. Dit kan geen probleem zijn, maar nogmaals, afhankelijk van de use case is het mogelijk dat het niet nodig is om alle velden van een IP-pakket vast te leggen.

conclusie

Packet capture is van onschatbare waarde vanuit het oogpunt van probleemoplossing en beveiliging, maar zou nooit het enige hulpmiddel moeten zijn waar een netwerkbeheerder of security engineer op vertrouwt. Het toegenomen gebruik van encryptie voor zowel legitieme als onwettige doeleinden beperkt de effectiviteit van tools zoals Wireshark. Pakketopnames geven ook geen idee welke acties er op een host hebben plaatsgevonden. Bestanden kunnen zijn gewijzigd, processen verborgen, en nieuwe gebruikersaccounts gemaakt zonder het genereren van een enkel pakket. Het Varonis Data Protection platform biedt een gegevensgerichte weergave van uw organisatie die bedreigingen kan herkennen die onopgemerkt blijven in het netwerk. Zoals altijd, zorg ervoor dat Defensie-in-depth en best practices in uw netwerk te gebruiken. En wanneer u klaar bent om Varonis toe te voegen aan uw aanvulling van security tools, plan een een-op-een demo!

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.