przechwytywanie pakietów: Co to jest i co musisz wiedzieć
przechwytywanie pakietów jest niezbędnym narzędziem służącym do bezpiecznego i wydajnego działania sieci. W niepowołanych rękach może być również używany do kradzieży poufnych danych, takich jak nazwy użytkowników i hasła. W tym poście przyjrzymy się, czym jest przechwytywanie pakietów, jak działa, jakiego rodzaju narzędzia są używane i przyjrzymy się przykładowym przypadkom użycia.
- co to jest przechwytywanie pakietów?
- Jak Działa Przechwytywanie Pakietów?
- jak odczytać przechwytywanie pakietów
- formaty, Biblioteki i filtry, O mój Boże!
- narzędzia do przechwytywania pakietów
- przypadki użycia przechwytywania pakietów i sniffera pakietów
- przechwytywanie pakietów zalety i wady
co to jest przechwytywanie pakietów?
przechwytywanie pakietów odnosi się do akcji przechwytywania pakietów protokołu internetowego (IP) do przeglądu lub analizy. Termin ten może być również używany do opisania plików, które wyjście narzędzia przechwytywania pakietów, które są często zapisywane w .format pcap. Przechwytywanie pakietów jest powszechną techniką rozwiązywania problemów przez administratorów sieci, a także służy do badania ruchu sieciowego pod kątem zagrożeń bezpieczeństwa. Po naruszeniu danych lub innym incydencie przechwytywanie pakietów zapewnia istotne wskazówki kryminalistyczne, które pomagają w dochodzeniach. Z punktu widzenia aktora zagrożeń przechwytywanie pakietów może być wykorzystywane do kradzieży haseł i innych poufnych danych. W przeciwieństwie do technik aktywnego rozpoznania, takich jak skanowanie portów, przechwytywanie pakietów może być realizowane bez pozostawiania śladów dla śledczych.
Jak Działa Przechwytywanie Pakietów?
jest więcej niż jeden sposób na złapanie paczki! Przechwytywanie pakietów może odbywać się z urządzenia sieciowego, takiego jak router lub przełącznik, z dedykowanego sprzętu o nazwie tap, z laptopa lub komputera stacjonarnego analityka, a nawet z urządzeń mobilnych. Zastosowane podejście zależy od celu końcowego. Bez względu na to, jakie podejście jest stosowane, przechwytywanie pakietów działa poprzez tworzenie kopii niektórych lub wszystkich pakietów przechodzących przez dany punkt w sieci.
przechwytywanie pakietów z własnej maszyny jest najprostszym sposobem na rozpoczęcie, ale jest kilka zastrzeżeń. Domyślnie interfejsy sieciowe zwracają uwagę tylko na ruch przeznaczony dla nich. Aby uzyskać pełniejszy widok ruchu sieciowego, należy umieścić interfejs w trybie promiscuous lub trybie monitora. Należy pamiętać, że takie podejście pozwoli również uchwycić ograniczony widok sieci; na przykład w sieci przewodowej ruch będzie widoczny tylko na lokalnym porcie przełącznika, do którego podłączona jest maszyna.
na routerze lub przełączniku funkcje znane jako dublowanie portów, monitorowanie portów i analizator portów (SPAN) umożliwiają administratorom sieci duplikowanie ruchu sieciowego i wysyłanie go do określonego portu, zwykle w celu eksportu pakietów do dedykowanego rozwiązania monitorującego. Wiele przełączników i routerów klasy korporacyjnej ma teraz wbudowaną funkcję przechwytywania pakietów, za pomocą której można szybko rozwiązywać problemy bezpośrednio z interfejsu CLI lub sieci web urządzenia. Inne typy sprzętu sieciowego, takie jak zapory sieciowe i Punkty dostępu bezprzewodowego, również często mają funkcję przechwytywania pakietów.
jeśli przechwytywanie pakietów odbywa się w szczególnie dużej lub ruchliwej sieci, najlepszym rozwiązaniem może być dedykowane dotknięcie sieci. Krany są najdroższym sposobem przechwytywania pakietów, ale nie wprowadzają żadnych sankcji za wydajność, ponieważ są dedykowanym sprzętem.
jak odczytać przechwytywanie pakietów
aby zrozumieć i przeanalizować przechwytywanie pakietów, potrzebujesz pewnej podstawowej wiedzy na temat podstawowych koncepcji sieciowych, zwłaszcza modelu OSI. Chociaż mogą występować różnice między konkretnymi narzędziami, przechwytywanie pakietów zawsze będzie składać się z ładunku i niektórych nagłówków. Ładunek składa się z rzeczywistych przesyłanych danych – mogą to być fragmenty strumieniowego filmu, wiadomości e-mail, oprogramowania ransomware lub czegokolwiek innego przemierzającego sieć. Nagłówki pakietów zawierają wszystkie krytyczne informacje, które pomagają sprzętowi sieciowemu zdecydować, co zrobić z każdym pakietem. Najważniejsze są adresy źródłowe i docelowe, ale pakiety IP mają w sumie 14 nagłówków obejmujących wszystko, od klasy usługi po Typ protokołu. Profesjonalny analityk sieci będzie miał szczegółową wiedzę na temat wszystkich tych dziedzin, ale ogólne zrozumienie struktury pakietów to wszystko, czego potrzeba, aby rozpocząć rozwiązywanie problemów z wydajnością lub dowiedzieć się więcej o działaniu sieci.
Wersja | Długość nagłówka | wartość DSCP | ECN | Całkowita długość pakietu |
Identyfikacja | flagi | przesunięcie fragmentu | ||
Time To Live (TTL) | protokół | suma kontrolna nagłówka | ||
źródłowy adres IP |
||||
docelowy adres IP |
||||
opcjonalne |
oprócz adresów źródłowych i docelowych, niektóre z najważniejszych pól z rozwiązywania problemów perspektywa może obejmować different Services Code Point (DSCP), flagi i TTL. DSCP jest używany do zapewnienia jakości usług (QoS) i jest ważnym polem dla ruchu w czasie rzeczywistym, takiego jak Voice over IP (VoIP). Flagi są najczęściej używane do kontrolowania fragmentacji pakietów i mogą stać się problemem, gdy pakiet, który ma flagę „Nie Fragmentuj”, również przekracza maksymalny rozmiar jednostki transmisji (MTU) łącza sieciowego. Wartości TTL są zmniejszane po każdym przeskoku i mogą dostarczać ważnych wskazówek dotyczących ścieżki pakietu przez sieć.
w przypadku niezaszyfrowanych typów ruchu, sniffery pakietów mogą kopać głębiej niż tylko nagłówki i sprawdzać rzeczywisty ładunek. Może to być niezwykle przydatne w rozwiązywaniu problemów z siecią, ale jest również potencjalnym problemem bezpieczeństwa, gdy obecne są poufne dane, takie jak nazwy użytkowników i hasła. Zrozumienie znaczenia ładunku pakietu może wymagać znajomości używanego protokołu.
aplikacje do przechwytywania pakietów i analizy sieci często zawierają narzędzia do filtrowania, wizualizacji i kontroli dużych ilości danych. Narzędzia te umożliwiają analizę, która nie jest możliwa poprzez ręczną kontrolę przechwytywania pakietów. Pliki przechwytywania mogą być również wprowadzane do systemu wykrywania włamań/systemów ochrony (IDS/IPS), systemu zarządzania informacjami i zdarzeniami bezpieczeństwa (Siem) lub innych rodzajów produktów zabezpieczających w celu wykrycia śladów ataku lub naruszenia danych.
formaty, Biblioteki i filtry, Ojej!
jeśli chodzi o przechwytywanie pakietów, istnieje szereg powiązanych terminologii, które mogą dość szybko stać się mylące. Omówmy niektóre z najczęstszych i najważniejszych terminów, które możesz usłyszeć:
formaty przechwytywania pakietów
podczas gdy narzędzia do przechwytywania pakietów, takie jak Wireshark, mogą być używane do sprawdzania ruchu w czasie rzeczywistym, bardziej powszechne jest zapisywanie zrzutów do pliku w celu późniejszej analizy. Pliki te mogą być zapisywane w różnych formatach. .pliki pcap są najczęstsze i są ogólnie kompatybilne z szeroką gamą analizatorów sieci i innych narzędzi. .pcapng opiera się na prostocie .format pcap z nowymi polami i możliwościami i jest teraz domyślnym formatem podczas zapisywania plików w Wireshark. Niektóre narzędzia komercyjne mogą również używać zastrzeżonych formatów.
Biblioteki
biblioteki takie jak libpcap, winpcap i npcap są prawdziwymi gwiazdami pokazu przechwytywania pakietów, podłączając się do stosu sieciowego systemu operacyjnego i zapewniając możliwość peerowania pakietów poruszających się między interfejsami. Wiele z tych bibliotek to projekty open-source, więc możesz je znaleźć w szerokiej gamie zarówno komercyjnych, jak i darmowych narzędzi do przechwytywania pakietów. W niektórych przypadkach konieczne może być zainstalowanie biblioteki oddzielnie od narzędzia.
filtrowanie
pełne przechwytywanie pakietów może zająć sporo miejsca i wymagać więcej zasobów z urządzenia przechwytywającego. To również przesada w większości przypadków-najciekawsze informacje to zazwyczaj tylko niewielka część obserwowanego ruchu. Przechwytywanie pakietów jest często filtrowane w celu usunięcia istotnych informacji. Może to być oparte na wszystkim, od ładunku do adresu IP po kombinację czynników.
narzędzia do przechwytywania pakietów
dostępnych jest wiele różnych narzędzi do przechwytywania i analizowania pakietów przemierzających sieć. Są one czasami znane jako sniffery pakietów. Oto niektóre z najpopularniejszych:
Wireshark
Wireshark jest podstawowym narzędziem do przechwytywania pakietów dla wielu administratorów sieci, analityków bezpieczeństwa i amatorów. Dzięki prostemu GUI i mnóstwu funkcji do sortowania, analizowania i wykrywania ruchu, Wireshark łączy łatwość użycia i potężne możliwości. Pakiet Wireshark zawiera również narzędzie wiersza poleceń o nazwie tshark.
tcpdump
lekki, wszechstronny i preinstalowany na wielu uniksowych systemach operacyjnych, tcpdump jest spełnieniem marzeń CLI, jeśli chodzi o przechwytywanie pakietów. To narzędzie opensource może szybko przechwytywać pakiety do późniejszej analizy w narzędziach takich jak Wireshark, ale ma wiele własnych poleceń i przełączników, aby zrozumieć ogromne sumy danych sieciowych.
SolarWinds Network Performance Monitor
to komercyjne Narzędzie od dawna jest ulubionym narzędziem ze względu na łatwość obsługi, wizualizacje i możliwość klasyfikacji ruchu według aplikacji. Chociaż narzędzie instaluje się tylko na platformach Windows, może wąchać i analizować ruch z dowolnego typu urządzenia.
ColaSoft Capsa
ColaSoft tworzy komercyjny sniffer pakietów skierowany do klientów korporacyjnych, ale oferuje również ograniczoną edycję skierowaną do studentów i osób dopiero zaczynających pracę w sieci. Narzędzie oferuje wiele funkcji monitorowania, które pomagają w rozwiązywaniu problemów i analizie w czasie rzeczywistym.
Kismet
Kismet to narzędzie przeznaczone do przechwytywania ruchu bezprzewodowego oraz wykrywania sieci i urządzeń bezprzewodowych. Dostępne dla platform Linux, Mac i Windows narzędzie obsługuje szeroką gamę źródeł przechwytywania, w tym radia Bluetooth i Zigbee. Dzięki odpowiedniej konfiguracji możesz przechwytywać pakiety ze wszystkich urządzeń w sieci.
przypadki użycia przechwytywania pakietów i sniffera pakietów
chociaż termin Packet Sniffer może wywoływać obrazy hakerów potajemnie dotykających się wrażliwej komunikacji, istnieje wiele legalnych zastosowań sniffera pakietów. Poniżej przedstawiono kilka typowych przypadków użycia snifferów pakietów:
wykrywanie zasobów/pasywny rekonesans
Pakiety ze swej natury zawierają adresy źródłowe i docelowe, więc przechwytywanie pakietów może być użyte do wykrycia aktywnych punktów końcowych w danej sieci. Dzięki wystarczającej ilości danych możliwe jest nawet Odciskanie punktów końcowych. Gdy odbywa się to w uzasadnionych celach biznesowych, nazywa się to wykrywaniem lub zapasami. Jednak pasywny charakter przechwytywania pakietów sprawia, że jest to doskonały sposób na zbieranie informacji przez złośliwych napastników na dalsze etapy ataku. Oczywiście ta sama technika może być stosowana przez Red teamerów testujących bezpieczeństwo organizacji
Rozwiązywanie problemów
podczas rozwiązywania problemów z siecią, Kontrola rzeczywistego ruchu sieciowego może być najskuteczniejszym sposobem zawężenia głównej przyczyny problemu. Sniffery pakietów umożliwiają administratorom i inżynierom sieci przeglądanie zawartości pakietów przemierzających sieć. Jest to niezbędna funkcja podczas rozwiązywania problemów z podstawowymi protokołami sieciowymi, takimi jak DHCP, ARP i DNS. Przechwytywanie pakietów nie ujawnia jednak zawartości zaszyfrowanego ruchu sieciowego.
wąchanie pakietów może pomóc w sprawdzeniu, czy ruch podąża właściwą ścieżką w sieci i jest traktowany z właściwym priorytetem. Przeciążone lub uszkodzone łącze sieciowe jest często łatwe do wykrycia w przechwytywaniu pakietów, ponieważ tylko jedna strona typowo dwustronnej rozmowy będzie obecna. Połączenia z dużą liczbą powtórzeń lub upuszczonych pakietów często wskazują na nadużywanie łącza lub awarię sprzętu sieciowego.
wykrywanie włamań
podejrzany ruch sieciowy można zapisać jako przechwytywanie pakietów i przekazać do rozwiązania IDS, IPS lub Siem w celu dalszej analizy. Atakujący dokładają wszelkich starań, aby wtopić się w normalny ruch sieciowy, ale dokładna inspekcja może odkryć tajny ruch. Znane złośliwe adresy IP,ładunki awaryjne i inne szczegóły mogą wskazywać na atak. Nawet coś tak nieszkodliwego jak żądanie DNS, jeśli zostanie powtórzone w regularnych odstępach czasu, może być oznaką sygnału ostrzegawczego.
reagowanie na incydenty i kryminalistyka
przechwytywanie pakietów zapewnia wyjątkową okazję dla osób reagujących na incydenty. Atakujący mogą podjąć kroki, aby zatrzeć ślady na punktach końcowych, ale nie mogą odblokować pakietów, które już przeszły przez sieć. Niezależnie od tego, czy chodzi o złośliwe oprogramowanie, eksfiltrację danych, czy o inny rodzaj incydentu, przechwytywanie pakietów często wykrywa oznaki ataku, których nie zauważają inne narzędzia bezpieczeństwa. Ponieważ nagłówek pakietu zawsze będzie zawierał zarówno adres źródłowy, jak i docelowy, zespoły reagowania na incydenty mogą używać przechwytywania pakietów do śledzenia ścieżki atakującego przez sieć lub dostrzegania oznak eksfiltracji danych z sieci.
przechwytywanie pakietów zalety i wady
jak już wspomniano, przechwytywanie pakietów jest ogromnym atutem dla administratorów sieci i zespołów ds. bezpieczeństwa. Nie są one jednak jedyną opcją monitorowania ruchu w sieci i mogą wystąpić sytuacje, w których rzeczy takie jak SNMP lub NetFlow są lepszym wyborem. Oto kilka zalet i wad korzystania z przechwytywania pakietów:
zaleta: najbardziej kompletne spojrzenie na ruch sieciowy
przechwytywanie pakietów jest z definicji duplikatem kopii rzeczywistych pakietów przemierzających sieć lub łącze sieciowe. Jest to zatem najbardziej dokładne spojrzenie na ruch sieciowy. Przechwytywanie pakietów zawiera wysoki poziom szczegółowości niedostępny w innych rozwiązaniach monitorujących, w tym pełny ładunek, wszystkie pola nagłówka IP, a w wielu przypadkach nawet informacje o interfejsie przechwytywania. Dzięki temu Przechwytywanie jest jedynym realnym rozwiązaniem w przypadkach, gdy wymagana jest duża ilość szczegółów.
zaleta: można zapisać do dalszej analizy
przechwytywanie pakietów można zapisać do dalszej analizy lub kontroli w standardzie branżowym .pcap i … formaty pcapng. Pozwala to na przykład na zapisanie podejrzanego ruchu przez inżyniera sieci, a następnie sprawdzenie go przez analityka ds. bezpieczeństwa. Ten format obsługuje wiele różnych narzędzi, w tym narzędzia do analizy bezpieczeństwa. Możliwe jest również zapisanie przechwytywania pakietów składającego się z kilkugodzinnych danych i przeglądanie go w późniejszym czasie.
zaleta: agnostyka sprzętowa
zarówno SNMP, jak i NetFlow wymagają wsparcia na poziomie sprzętowym sieci. Chociaż obie technologie cieszą się szerokim wsparciem, nie są powszechnie dostępne. Mogą również występować różnice w sposobie ich implementacji przez każdego dostawcę. Przechwytywanie pakietów, z drugiej strony, nie wymaga specjalistycznego wsparcia sprzętowego i może odbywać się z dowolnego urządzenia, które ma dostęp do sieci.
wada: duże rozmiary plików
pełne przechwytywanie pakietów może zająć duże ilości miejsca na dysku – w niektórych przypadkach do 20 razy więcej miejsca niż inne opcje. Nawet po zastosowaniu filtrowania pojedynczy plik przechwytywania może zajmować wiele gigabajtów pamięci. Może to spowodować, że przechwytywanie pakietów nie nadaje się do długotrwałego przechowywania. Te duże rozmiary plików mogą również powodować długie czasy oczekiwania podczas otwierania a .pcap w narzędziu do analizy sieci.
wada: zbyt wiele informacji
podczas gdy przechwytywanie pakietów zapewnia bardzo kompletne spojrzenie na ruch sieciowy, często są one zbyt obszerne. Istotne informacje mogą często zgubić się w ogromnych ilościach danych. Narzędzia analityczne mają funkcje porządkowania, sortowania i filtrowania plików przechwytywania, ale wiele przypadków użycia może być lepiej obsługiwanych przez inne opcje. Często możliwe jest rozwiązywanie problemów z siecią lub wykrywanie oznak ataku za pomocą tylko podsumowanych wersji ruchu sieciowego dostępnych w innych rozwiązaniach monitorujących. Jednym z powszechnych podejść jest użycie technologii takiej jak NetFlow do monitorowania całego ruchu i przechodzenia do pełnego przechwytywania pakietów w razie potrzeby.
wada: stałe pola
najnowsze iteracje NetFlow pozwalają na konfigurowanie rekordów, co oznacza, że administratorzy sieci mogą wybrać, jakie informacje mają przechwycić. Ponieważ przechwytywanie pakietów opiera się na istniejącej strukturze pakietu IP, nie ma miejsca na dostosowanie. Może to nie być problem, ale w zależności od przypadku użycia może nie być potrzeby przechwytywania wszystkich pól pakietu IP.
podsumowanie
przechwytywanie pakietów jest nieocenione z punktu widzenia rozwiązywania problemów i bezpieczeństwa, ale nigdy nie powinno być jedynym narzędziem, na którym opiera się administrator sieci lub Inżynier ds. bezpieczeństwa. Zwiększone wykorzystanie szyfrowania zarówno do legalnych, jak i nielegalnych celów ogranicza skuteczność narzędzi takich jak Wireshark. Przechwytywanie pakietów nie daje również osobom reagującym na incydenty większego pojęcia o tym, jakie działania zostały podjęte na hoście. Pliki mogły zostać zmodyfikowane, procesy ukryte i nowe konta użytkowników utworzone bez generowania pojedynczego pakietu. Platforma Ochrony Danych Varonis zapewnia zorientowany na dane widok organizacji, który może wykrywać zagrożenia, które pozostają niewykryte w sieci. Jak zawsze, upewnij się, że stosujesz dogłębne i najlepsze praktyki w swojej sieci. A kiedy będziesz gotowy, aby dodać Varonis do zestawu narzędzi bezpieczeństwa, zaplanuj demo jeden na jeden!