januar 20, 2022

Packet Capture: Hva Er Det Og Hva Du Trenger Å Vite

Packet capture er et viktig verktøy som brukes til å holde nettverk opererer trygt og effektivt. I feil hender kan det også brukes til å stjele sensitive data som brukernavn og passord. I dette innlegget vil vi dykke inn i hva en pakkeopptak er, hvordan det fungerer, hva slags verktøy som brukes, og se på noen eksempler på brukstilfeller.

  • Hva Er Pakkefangst?
  • Hvordan Fungerer Pakkeopptak?
  • Slik Leser Du En Pakkeopptak
  • Formater, Biblioteker og Filtre, Oh My!
  • Pakkeopptak Verktøy
  • Pakkeopptak Og Pakkesniffer Bruk Tilfeller
  • Pakkeopptak Fordeler Og Ulemper

Hva Er Pakkeopptak?

Pakkeopptak refererer til handlingen med å fange Internet Protocol (IP) – pakker for gjennomgang eller analyse. Begrepet kan også brukes til å beskrive filene som pakkeopptak verktøy utgang, som ofte lagres i .pcap-format. Fange pakker er en vanlig feilsøkingsteknikk for nettverksadministratorer, og brukes også til å undersøke nettverkstrafikk for sikkerhetstrusler. Etter et datainnbrudd eller annen hendelse, pakke fanger gi viktige rettsmedisinske ledetråder som hjelper undersøkelser. Fra et trusselaktørperspektiv kan pakkefangst brukes til å stjele passord og andre sensitive data. I motsetning til aktive rekognosering teknikker som port skanning, fange pakker kan oppnås uten å etterlate spor bak for etterforskere.

Hvordan Fungerer Pakkeopptak?

Det er mer enn en måte å fange en pakke på! Pakkeopptak kan gjøres fra et stykke nettverksutstyr som en ruter eller bryter, fra et dedikert maskinvare som kalles trykk, fra en analytikers bærbare eller stasjonære datamaskin, og til og med fra mobile enheter. Tilnærmingen som brukes, avhenger av sluttmålet. Uansett hvilken tilnærming som brukes, fungerer pakkeopptak ved å lage kopier av noen eller alle pakker som går gjennom et gitt punkt i nettverket.

Å Fange pakker fra din egen maskin er den enkleste måten å komme i gang, men det er noen advarsler. Som standard er nettverksgrensesnitt bare oppmerksom på trafikk som er bestemt for dem. For en mer fullstendig visning av nettverkstrafikk, vil du sette grensesnittet i promiskuøs modus eller skjermmodus. Husk at denne tilnærmingen vil også fange opp en begrenset visning av nettverket; på et kablet nettverk, for eksempel, vil du bare se trafikk på den lokale bryterporten maskinen er koblet til.

på en ruter eller svitsj kan funksjoner kjent som portspeiling, portovervåking og switched port analyzer (SPAN) tillate nettverksadministratorer å duplisere nettverkstrafikk og sende den til en spesifisert port, vanligvis for å eksportere pakker til en dedikert overvåkingsløsning. Mange enterprise-grade svitsjer og rutere har nå en innebygd pakkeopptak funksjon som kan brukes til å raskt feilsøke rett fra enhetens CLI eller webgrensesnitt. Andre typer nettverksutstyr som brannmurer og trådløse tilgangspunkter har også ofte pakkeopptak funksjonalitet.

hvis du utfører en pakkeopptak på et spesielt stort eller opptatt nettverk, kan et dedikert nettverkskran være det beste alternativet. Kraner er den dyreste måten å fange pakker, men introduserer ingen ytelsesstraff siden de er dedikert maskinvare.

Slik Leser Du En Pakkeopptak

for å forstå og analysere en pakkeopptak, trenger du noen grunnleggende kunnskaper om grunnleggende nettverkskonsepter, spesielt OSI-modellen. Selv om det kan være forskjeller mellom bestemte verktøy, vil pakkeopptak alltid bestå av en nyttelast og noen overskrifter. Nyttelasten består av de faktiske dataene som overføres – dette kan være biter av en streamingfilm, e-post, ransomware eller noe annet som går gjennom et nettverk. Pakkehoder inneholder all kritisk informasjon som hjelper nettverksutstyr med å bestemme hva de skal gjøre med hver pakke. De viktigste er kilde-og destinasjonsadressene, MEN IP-pakker har totalt 14 overskrifter som dekker alt fra Tjenesteklasse til Protokolltype. En profesjonell nettverksanalytiker vil ha detaljert kunnskap om alle disse feltene, men en generell forståelse av pakkestruktur er alt som trengs for å komme i gang med feilsøking av ytelsesproblemer eller lære mer om hvordan nettverk fungerer.

Versjon Header Lengde Dscp Verdi ECN Total Pakkelengde
Identifikasjon Flagg Fragment Offset
Tid Til Å Leve (TTL) Protokoll Header Checksum

Kilde IP-Adresse

Destinasjon IP-Adresse

Valgfritt

Bortsett fra kilde-og destinasjonsadresser, er noen av de viktigste feltene fra en feilsoking perspektiv kan omfatte Differensierte Tjenester Kodepunkt (Dscp), Flagg og TTL. DSCP brukes til å sikre Kvalitet På Tjenesten (QoS), og er et viktig felt for sanntidstrafikk som Voice OVER IP (VoIP). Flagg brukes oftest til å kontrollere pakkefragmentering og kan bli et problem når en pakke som har don ‘ T Fragment-flagget, også overskrider DEN MAKSIMALE Overføringsenheten (MTU) på en nettverkskobling. TTL-verdier dekrementeres etter hvert hopp og kan gi viktige ledetråder om en pakkebane gjennom nettverket.

for ukrypterte typer trafikk kan pakkesniffere grave dypere enn bare overskriftene og inspisere den faktiske nyttelasten. Dette kan være utrolig nyttig for feilsøking av nettverksproblemer, men er også et potensielt sikkerhetsproblem når sensitive data som brukernavn og passord er til stede. Forstå betydningen bak en pakke nyttelast kan kreve kunnskap om protokollen i bruk.

Pakkeopptak og nettverksanalyseprogrammer inkluderer ofte verktøy for å filtrere, visualisere og inspisere store mengder data. Disse verktøyene tillater analyse som ikke er mulig gjennom manuell inspeksjon av en pakkeopptak. Capture-filer kan også mates inn I Et Inntrengingsdeteksjonssystem / Beskyttelsessystemer(IDS / IPS), SIKKERHETSINFORMASJON og Hendelsesstyringssystem (SIEM) eller andre typer sikkerhetsprodukter for å se etter tegn på angrep eller datainnbrudd.

Formater, Biblioteker og Filtre, Oh My!

når det gjelder pakkefangst, er det en rekke relaterte terminologier som kan bli forvirrende ganske raskt. La oss bryte ned noen av de vanligste og viktigste begrepene du kanskje hører:

Pakkeopptak Formater

mens pakkeopptak verktøy som Wireshark kan brukes til å inspisere trafikk i sanntid, er det mer vanlig å lagre fanger til en fil for senere analyse. Disse filene kan lagres i en rekke formater. .pcap-filer er de vanligste og er generelt kompatible med et bredt spekter av nettverksanalysatorer og andre verktøy. .pcapng bygger pa det enkle .pcap-format med nye felt og evner, og er nå standardformatet når du lagrer filer i Wireshark. Noen kommersielle verktøy kan også bruke proprietære formater.

Biblioteker

Biblioteker som libpcap, winpcap og npcap er de virkelige stjernene i packet capture-showet, som henger inn i et operativsystems nettverksstabel og gir muligheten til å peer inn i pakker som beveger seg mellom grensesnitt. Mange av disse bibliotekene er åpen kildekode-prosjekter, slik at du kan finne dem i et bredt utvalg av både kommersielle og gratis pakkeopptak verktøy. I noen tilfeller må du kanskje installere biblioteket separat fra verktøyet.

Filtrering

full pakkeopptak kan ta litt plass og kreve flere ressurser fra fangstenheten. Det er også overkill i de fleste tilfeller – den mest interessante informasjonen er vanligvis bare en liten del av den totale trafikken som observeres. Pakkefangst blir ofte filtrert for å luke ut relevant informasjon. Dette kan baseres på alt fra nyttelast TIL IP-adresse til en kombinasjon av faktorer.

Pakkeopptaks-Verktøy

Et stort antall forskjellige verktøy er tilgjengelige for å fange opp og analysere pakkene som går gjennom nettverket ditt. Disse er noen ganger kjent som pakke sniffere. Her er noen av de mest populære:

Wireshark

det mest typiske pakkeverktøyet, Wireshark er go-to packet capture-verktøyet for mange nettverksadministratorer, sikkerhetsanalytikere og amatørnerder. Med en enkel GUI OG tonnevis av funksjoner for sortering, analyse, og gjør følelse av trafikk, Kombinerer Wireshark brukervennlighet og kraftige evner. Wireshark-pakken inneholder også et kommandolinjeverktøy kalt tshark.

tcpdump

Lett, allsidig og forhåndsinstallert på MANGE UNIX-lignende operativsystemer, tcpdump er EN CLI junkie drøm når det gjelder pakke fanger. Dette opensource-verktøyet kan raskt fange opp pakker for senere analyse i verktøy som Wireshark, men har mange egne kommandoer og brytere for å gi mening om store summer av nettverksdata.

SolarWinds Network Performance Monitor

dette kommersielle verktøyet har lenge vært en favoritt for brukervennlighet, visualiseringer og evne til å klassifisere trafikk etter applikasjon. Selv om verktøyet bare installeres På Windows-plattformer, kan det snuse og analysere trafikk fra alle typer enheter.

ColaSoft Capsa

ColaSoft gjør en kommersiell pakke sniffer rettet mot bedriftskunder, men tilbyr også en pared-down utgave rettet mot studenter og de som bare kommer inn i nettverk. Verktøyet har en rekke overvåking funksjoner for å hjelpe i sanntid feilsøking og analyse.

Kismet

Kismet er et verktøy viet til å fange trådløs trafikk og oppdage trådløse nettverk og enheter. Tilgjengelig For Linux -, Mac-og Windows-plattformer, støtter dette verktøyet et bredt spekter av opptakskilder, inkludert Bluetooth-og Zigbee-radioer. Med riktig oppsett kan du fange pakker fra alle enhetene på nettverket.

Pakke Fangst Og Pakke Sniffer Bruk Tilfeller

mens begrepet Pakke Sniffer kan trylle frem bilder av hackere skjult å hanke inn sensitiv kommunikasjon, det er nok av legitime bruksområder for en pakke sniffer. Følgende er noen typiske brukstilfeller for pakkesniffere:

Aktivaoppdagelse/Passiv Rekognosering

Pakker i sin natur inkluderer kilde-og destinasjonsadresser, slik at en pakkeopptak kan brukes til å oppdage aktive endepunkter på et gitt nettverk. Med nok data er det også mulig å fingeravtrykk endepunktene. Når det gjøres for legitime forretningsformål, kalles dette oppdagelse eller inventar. Den passive naturen til en pakkeopptak gjør det imidlertid til en utmerket måte for ondsinnede angripere å samle informasjon for videre stadier av et angrep. Selvfølgelig kan den samme teknikken brukes av røde teamere som tester en organisasjons sikkerhet

Feilsøking

når du feilsøker nettverksproblemer, kan inspeksjon av den faktiske nettverkstrafikken være den mest effektive måten å begrense årsaken til et problem. Pakkesniffere tillater nettverksadministratorer og ingeniører å se innholdet i pakker som går gjennom nettverket. Dette er en viktig funksjon når du feilsøker grunnleggende nettverksprotokoller som DHCP, ARP og DNS. Pakkeopptak avslører imidlertid ikke innholdet i kryptert nettverkstrafikk.

Sniffing av pakker kan bidra til å bekrefte at trafikken tar den riktige banen over nettverket, og behandles med riktig prioritet. En overbelastet eller ødelagt nettverkskobling er ofte lett å få øye på i en pakkeopptak fordi bare en side av en typisk tosidig samtale vil være til stede. Tilkoblinger med et stort antall forsøk eller tapt pakker er ofte en indikasjon på en overused kobling eller sviktende nettverksmaskinvare.

Inntrengingsdeteksjon

Mistenkelig nettverkstrafikk kan lagres som pakkeopptak og mates inn I EN IDS -, IPS-eller SIEM-løsning for videre analyse. Angripere går langt for å passe inn i normal nettverkstrafikk, men en nøye inspeksjon kan avdekke skjult trafikk. Kjente ondsinnede IP-adresser, telltale nyttelaster og andre små detaljer kan alle være tegn på et angrep. Selv noe så uskyldig SOM EN DNS-forespørsel, hvis gjentatt med jevne mellomrom, kan være et tegn på et kommando-og kontrollsignal.

Hendelsesrespons Og Etterforskning

pakkefangst gir en unik mulighet for hendelsesrespons. Angripere kan ta skritt for å dekke sporene sine på endepunkter,men de kan ikke sende pakker som allerede har krysset et nettverk. Enten det er skadelig programvare, dataeksfiltrering eller en annen type hendelse, kan pakkeopptak ofte oppdage tegn på et angrep som andre sikkerhetsverktøy savner. Siden en pakkehode alltid vil inneholde både en kilde – og destinasjonsadresse, kan hendelsesresponsgrupper bruke pakkefangst til å spore banen til en angriper gjennom nettverket, eller oppdage tegn på at data blir eksfiltrert ut av nettverket.

Pakkeopptak Fordeler Og Ulemper

som allerede nevnt, er pakkeopptak en enorm ressurs for nettverksadministratorer og sikkerhetsteam. De er imidlertid ikke det eneste alternativet for å overvåke nettverkstrafikk, og det kan være tilfeller når TING SOM SNMP eller NetFlow er bedre valg. Her er en titt på noen av fordelene og ulempene ved å bruke pakkefangst:

Fordel: Mest Komplette Titt På Nettverkstrafikk

Pakkefangst er per definisjon en duplikat kopi av de faktiske pakkene som går gjennom et nettverk eller en nettverkskobling. Det er derfor den mest grundige titt på nettverkstrafikk mulig. Pakkeopptak inneholder et stort detaljnivå som ikke er tilgjengelig i andre overvåkingsløsninger, inkludert komplett nyttelast, ALLE IP-header-felt, og i mange tilfeller til og med informasjon om fangstgrensesnittet. Dette kan gjøre fange den eneste levedyktige løsningen i tilfeller der mange detaljer er nødvendig.

Fordel: Kan Lagres For Videre Analyse

Pakkefangst kan lagres for videre analyse eller inspeksjon i industristandard .pcap og .pcapng-formater. Dette gjør at for eksempel mistenkelig trafikk kan lagres av en nettverksingeniør og senere vurderes av en sikkerhetsanalytiker. Et bredt utvalg av verktøy støtter dette formatet, inkludert sikkerhetsanalyseverktøy. Det er også mulig å lagre en pakkeopptak som består av flere timers verdi av data og se gjennom det på et senere tidspunkt.

Fordel: Maskinvare Agnostiker

SNMP og NetFlow krever begge støtte på nettverksmaskinvarenivå. Mens begge teknologiene har bred støtte, er de ikke universelt tilgjengelige. Det kan også være forskjeller i hvordan hver leverandør implementerer dem. Pakkeopptak, derimot, krever ikke spesialisert maskinvarestøtte og kan foregå fra hvilken som helst enhet som har tilgang til nettverket.

Ulempe: Store Filstørrelser

full pakkeopptak kan ta opp store mengder diskplass – i noen tilfeller opptil 20 ganger så mye plass som andre alternativer. Selv når filtrering brukes, kan en enkelt fangstfil ta opp mange gigabyte lagringsplass. Dette kan gjøre pakkefangst uegnet til langtidslagring. Disse store filstørrelser kan også resultere i lange ventetider når du åpner en .pcap i et nettverk analyseverktøy.

Ulempe: For Mye Informasjon

mens pakkefangst for å gi et veldig komplett blikk på nettverkstrafikk, er de ofte for omfattende. Relevant informasjon kan ofte gå tapt i store summer av data. Analyseverktøy har funksjoner for, sorter og filtrer fangstfiler, men mange brukstilfeller kan være bedre tjent med andre alternativer. Det er ofte mulig å feilsøke et nettverk eller spot tegn på et angrep med bare de oppsummerte versjonene av nettverkstrafikk som er tilgjengelige i andre overvåkingsløsninger. En vanlig tilnærming er å bruke En teknologi Som NetFlow å overvåke all trafikk og slå til en full pakke fangst etter behov.

Ulempe: Faste Felt

De siste iterasjonene Av NetFlow tillater tilpassbare poster, noe som betyr at nettverksadministratorer kan velge hvilken informasjon som skal registreres. Siden en pakkeopptak er basert på den eksisterende strukturen TIL EN IP-pakke, er det ikke rom for tilpasning. Dette kan ikke være et problem, men igjen, avhengig av brukstilfellet, kan det ikke være behov for å fange opp alle feltene i EN IP-pakke.

Konklusjon

Pakkeopptak er uvurderlig fra et feilsøkings-og sikkerhetsperspektiv, men bør aldri være det eneste verktøyet som en nettverksadministrator eller sikkerhetsingeniør er avhengig av. Den økte bruken av kryptering for både legitime og ulovlige formål begrenser effektiviteten av verktøy som Wireshark. Pakkefangst gir heller ikke hendelsesresponsere mye av en ide om hvilke handlinger som har skjedd på en vert. Filer kan ha blitt endret, prosesser skjult, og nye brukerkontoer opprettet uten å generere en enkelt pakke. Varonis Databeskyttelsesplattform gir en datasentrert visning av organisasjonen din som kan oppdage trusler som går uoppdaget i nettverket. Som alltid, sørg for å ansette forsvar-i dybden og beste praksis i nettverket. Og når Du er klar til å legge Varonis til din komplement av sikkerhetsverktøy, planlegge en en-til-en demo!

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.