Captura de Pacotes: o Que é e o Que Você Precisa Saber
captura de Pacotes é uma ferramenta essencial, usado para manter redes operacionais de forma segura e eficiente. Nas mãos erradas, ele também pode ser usado para roubar dados confidenciais, como nomes de usuário e senhas. Neste post, vamos mergulhar no que é uma captura de pacotes, como funciona, Que tipo de ferramentas são usadas e analisar alguns casos de uso de amostra.
- o que é Captura de pacotes?
- Como Funciona A Captura De Pacotes?
- Como Ler Uma Captura de Pacotes
- Formatos, Bibliotecas e Filtros, Oh Meu!
- Ferramentas de captura de pacotes
- casos de Uso de captura de pacotes e Sniffer de pacotes
- vantagens e desvantagens de captura de pacotes
o que é Captura de pacotes?
captura de pacotes refere-se à ação de capturar pacotes de Protocolo de Internet (IP) para revisão ou análise. O termo também pode ser usado para descrever os arquivos que as ferramentas de captura de pacotes produzem, que geralmente são salvos no .formato pcap. A captura de pacotes é uma técnica comum de solução de problemas para administradores de rede e também é usada para examinar o tráfego de rede em busca de ameaças de segurança. Após uma violação de dados ou outro incidente, as capturas de pacotes fornecem pistas forenses vitais que auxiliam nas investigações. Do ponto de vista de um ator de ameaça, as capturas de pacotes podem ser usadas para roubar senhas e outros dados confidenciais. Ao contrário das técnicas ativas de reconhecimento, como a varredura de portas, a captura de pacotes pode ser realizada sem deixar vestígios para os investigadores.
Como Funciona A Captura De Pacotes?
há mais de uma maneira de pegar um pacote! As capturas de pacotes podem ser feitas a partir de um equipamento de rede, como um roteador ou switch, de um hardware dedicado chamado tap, do laptop ou desktop de um analista e até mesmo de dispositivos móveis. A abordagem utilizada depende do objetivo final. Não importa qual abordagem seja usada, a captura de pacotes funciona criando cópias de alguns ou todos os pacotes que passam por um determinado ponto da rede.
capturar pacotes de sua própria máquina é a maneira mais fácil de começar, mas há algumas ressalvas. Por padrão, as interfaces de rede prestam atenção apenas ao tráfego destinado a elas. Para uma visão mais completa do tráfego de rede, você vai querer colocar a interface no modo promíscuo ou modo de monitor. Lembre-se de que essa abordagem também capturará uma visão limitada da rede; em uma rede com fio, por exemplo, você verá apenas o tráfego na porta de switch local à qual sua máquina está conectada.
em um roteador ou switch, recursos conhecidos de várias maneiras como espelhamento de porta, monitoramento de porta e analisador de porta comutada (SPAN) permitem que os administradores de rede duplicem o tráfego de rede e o enviem para uma porta especificada, geralmente para exportar pacotes para uma solução de monitoramento dedicada. Muitos switches e roteadores de nível empresarial agora têm uma função de captura de pacotes incorporada que pode ser usada para solucionar problemas rapidamente a partir da interface CLI ou web do dispositivo. Outros tipos de equipamentos de rede, como firewalls e pontos de acesso sem fio, também costumam ter funcionalidade de captura de pacotes.
se você estiver executando uma captura de pacote em uma rede especialmente grande ou ocupada, Um toque de rede dedicado pode ser a melhor opção. Taps são a maneira mais cara de capturar pacotes, mas não introduz nenhuma penalidade de desempenho, pois são hardware dedicado.
como ler uma captura de pacotes
para entender e analisar uma captura de pacotes, você precisará de algum conhecimento fundamental de conceitos básicos de rede, especialmente o modelo OSI. Embora possa haver diferenças entre ferramentas específicas, as capturas de pacotes sempre consistirão em uma carga útil e alguns cabeçalhos. A carga útil consiste nos dados reais que estão sendo transferidos-isso pode ser bits de um filme de streaming, e-mails, ransomware ou qualquer outra coisa atravessando uma rede. Os cabeçalhos de pacotes contêm todas as informações críticas que ajudam o equipamento de rede a decidir o que fazer com cada pacote. Os mais importantes são os endereços de origem e destino, mas os pacotes IP têm um total de 14 cabeçalhos cobrindo tudo, desde a classe de serviço até o tipo de Protocolo. Um analista de rede profissional terá conhecimento detalhado de todos esses campos, mas um entendimento geral da estrutura de pacotes é tudo o que é necessário para começar a solucionar problemas de desempenho ou aprender mais sobre como as redes operam.
| Versão | Comprimento de Cabeçalho | Valor DSCP | REC | > Total do tamanho do Pacote |
| Identificação | Sinalizadores | Fragment Offset | ||
| Time to Live (TTL) | Protocolo | Checksum do Cabeçalho | ||
|
Endereço IP de Origem |
||||
|
Endereço IP de Destino |
||||
|
Opcional |
||||
Além dos endereços de origem e destino, alguns dos campos mais importantes de uma solução de problemas a perspectiva pode incluir pontos de código de serviços diferenciados (DSCP), sinalizadores e TTL. O DSCP é usado para garantir a qualidade do serviço (QoS) e é um campo importante para o tráfego em tempo real, como Voice over IP (VoIP). Os sinalizadores são usados com mais frequência para controlar a fragmentação de pacotes e podem se tornar um problema quando um pacote que tenha o sinalizador não fragmentar também excede o tamanho máximo da unidade de transmissão (MTU) de um link de rede. Os valores TTL são diminuídos após cada salto e podem fornecer pistas importantes sobre o caminho de um pacote através da rede.
para tipos de tráfego não criptografados, os farejadores de pacotes podem cavar mais fundo do que apenas os cabeçalhos e inspecionar a carga útil real. Isso pode ser incrivelmente útil para solucionar problemas de rede, mas também é um possível problema de segurança quando dados confidenciais, como nomes de usuário e senhas, estão presentes. Entender o significado por trás da carga útil de um pacote pode exigir conhecimento do protocolo em uso.
os aplicativos de captura de pacotes e análise de rede geralmente incluem ferramentas para filtrar, visualizar e inspecionar grandes quantidades de dados. Essas ferramentas permitem análises que não são possíveis por meio da inspeção manual de uma captura de pacotes. Os arquivos de captura também podem ser alimentados em um sistema de Detecção De intrusão/Sistemas de proteção (IDS/IPS), informações de segurança e sistema de gerenciamento de eventos (SIEM) ou outros tipos de produtos de segurança para procurar sinais de um ataque ou violação de dados.
formatos, Bibliotecas e filtros, Oh meu!
quando se trata de capturas de pacotes, há uma variedade de terminologia relacionada que pode ficar confusa rapidamente. Vamos quebrar alguns dos termos mais comuns e importantes que você pode ouvir:
formatos de captura de pacotes
embora ferramentas de captura de pacotes como o Wireshark possam ser usadas para inspecionar o tráfego em tempo real, é mais comum salvar capturas em um arquivo para análise posterior. Esses arquivos podem ser salvos em uma variedade de formatos. .os arquivos pcap são os mais comuns e geralmente são compatíveis com uma ampla gama de analisadores de rede e outras ferramentas. .pcapng baseia-se no Simples .formato pcap com novos campos e recursos e agora é o formato padrão ao salvar arquivos no Wireshark. Algumas ferramentas comerciais também podem usar formatos proprietários.
bibliotecas
bibliotecas como libpcap, winpcap e npcap são as estrelas reais do programa de captura de pacotes, conectando-se à pilha de rede de um sistema operacional e fornecendo a capacidade de peer em pacotes que se movem entre interfaces. Muitas dessas bibliotecas são projetos de código aberto, portanto, você pode encontrá-las em uma ampla variedade de ferramentas de captura de pacotes comerciais e gratuitas. Em alguns casos, pode ser necessário instalar a biblioteca separadamente da ferramenta.
Filtragem
a captura completa de pacotes pode ocupar um pouco de espaço e exigir mais recursos do dispositivo de captura. Também é um exagero na maioria dos casos – a informação mais interessante é normalmente apenas uma pequena parte do tráfego total que está sendo observado. As capturas de pacotes são frequentemente filtradas para eliminar as informações relevantes. Isso pode ser baseado em tudo, desde a carga útil até o endereço IP e uma combinação de fatores.
Ferramentas de captura de pacotes
um grande número de ferramentas diferentes estão disponíveis para capturar e analisar os pacotes que atravessam sua rede. Às vezes, são conhecidos como sniffers de pacotes. Aqui estão alguns dos mais populares:
Wireshark
a ferramenta de pacotes por excelência, o Wireshark é a ferramenta de captura de pacotes para muitos administradores de rede, analistas de segurança e geeks amadores. Com uma GUI simples e toneladas de recursos para classificar, analisar e dar sentido ao tráfego, o Wireshark combina facilidade de uso e recursos poderosos. O pacote Wireshark também inclui um utilitário de linha de comando chamado tshark.
tcpdump
leve, versátil e pré-instalado em muitos sistemas operacionais semelhantes ao UNIX, o tcpdump é o sonho de um viciado em CLI se tornar realidade quando se trata de capturas de pacotes. Esta ferramenta de código aberto pode capturar rapidamente pacotes para análises posteriores em ferramentas como o Wireshark, mas tem muitos comandos e switches próprios para dar sentido a vastas somas de dados de rede.
SolarWinds Network Performance Monitor
esta ferramenta comercial tem sido uma das favoritas por sua facilidade de uso, visualizações e capacidade de classificar o tráfego por aplicativo. Embora a ferramenta só seja instalada em plataformas Windows, ela pode farejar e analisar o tráfego de qualquer tipo de dispositivo.
ColaSoft Capsa
a ColaSoft faz um sniffer de pacotes comerciais voltado para clientes corporativos, mas também oferece uma edição reduzida voltada para estudantes e aqueles que estão entrando em rede. A ferramenta possui uma variedade de recursos de monitoramento para ajudar na solução de problemas e análise em tempo real.
Kismet
Kismet é um utilitário dedicado à captura de tráfego sem fio e detecção de redes e dispositivos sem fio. Disponível para plataformas Linux, Mac e Windows, esta ferramenta suporta uma ampla gama de fontes de captura, incluindo rádios Bluetooth e Zigbee. Com a configuração correta, você pode capturar pacotes de todos os dispositivos da rede.
captura de pacotes e casos de Uso do sniffer de pacotes
embora o termo Packet Sniffer possa evocar imagens de hackers secretamente tocando em comunicações confidenciais, há muitos usos legítimos para um sniffer de pacotes. A seguir estão alguns casos de uso típicos para sniffers de pacotes:
descoberta de ativos/reconhecimento passivo
os pacotes por sua própria natureza incluem endereços de origem e destino, portanto, uma captura de pacotes pode ser usada para descobrir endpoints ativos em uma determinada rede. Com dados suficientes, é até possível imprimir os pontos finais. Quando feito para fins comerciais legítimos, isso é chamado de descoberta ou inventário. No entanto, a natureza passiva de uma captura de pacotes torna uma excelente maneira de invasores mal-intencionados coletarem informações para outros estágios de um ataque. Obviamente, a mesma técnica pode ser usada por Red teamers testando a segurança de uma organização
solução de problemas
ao solucionar problemas de rede, inspecionar o tráfego real da rede pode ser o meio mais eficaz de restringir a causa raiz de um problema. Os sniffers de pacotes permitem que administradores e engenheiros de rede visualizem o conteúdo dos pacotes que atravessam a rede. Este é um recurso essencial ao solucionar problemas de protocolos de rede fundamentais, como DHCP, ARP e DNS. As capturas de pacotes não revelam, no entanto, o conteúdo do tráfego de rede criptografado.
Sniffing pacotes pode ajudar a verificar se o tráfego está tomando o caminho correto através da rede, e está sendo tratado com a precedência correta. Um link de rede congestionado ou quebrado geralmente é fácil de detectar em uma captura de pacote porque apenas um lado de uma conversa tipicamente bilateral estará presente. Conexões com um grande número de tentativas ou pacotes descartados são frequentemente indicativas de um link usado em excesso ou falha no hardware de rede.
Detecção De intrusão
o tráfego de rede suspeito pode ser salvo como captura de pacotes e alimentado em uma solução IDS, IPS ou SIEM para análise posterior. Os invasores se esforçam muito para se misturar ao tráfego normal da rede, mas uma inspeção cuidadosa pode descobrir o tráfego secreto. Endereços IP maliciosos conhecidos, cargas úteis reveladoras e outros detalhes minuciosos podem ser indicativos de um ataque. Mesmo algo tão inócuo como uma solicitação DNS, se repetido em um intervalo regular, pode ser um sinal de um comando e controle beacon.
resposta a Incidentes e Forense
as capturas de pacotes fornecem uma oportunidade única para os respondentes a incidentes. Os invasores podem tomar medidas para cobrir suas trilhas em endpoints, mas não podem enviar pacotes que já atravessaram uma rede. Seja malware, exfiltração de dados ou algum outro tipo de incidente, as capturas de Pacotes geralmente podem detectar sinais de um ataque que outras ferramentas de segurança perdem. Como um cabeçalho de pacote sempre conterá um endereço de origem e destino, as equipes de resposta a incidentes podem usar capturas de pacote para rastrear o caminho de um invasor pela rede ou detectar sinais de dados sendo exfiltrados para fora da rede.
vantagens e desvantagens da captura de pacotes
como já foi dito, as capturas de pacotes são um grande trunfo para administradores de rede e equipes de segurança. Eles não são a única opção para monitorar o tráfego de rede, no entanto, e pode haver casos em que coisas como SNMP ou NetFlow são melhores escolhas. Aqui está uma olhada em algumas das vantagens e desvantagens do uso de capturas de pacotes:
vantagem: a análise mais completa do tráfego de rede
a captura de pacotes é, por definição, uma cópia duplicada dos pacotes reais que atravessam uma rede ou link de rede. É, portanto, a análise mais completa possível do tráfego de rede. As capturas de pacotes contêm um grande nível de detalhes não disponíveis em outras soluções de monitoramento, incluindo carga útil completa, todos os campos de cabeçalho IP e, em muitos casos, até mesmo informações sobre a interface de captura. Isso pode tornar a captura a única solução viável nos casos em que muitos detalhes são necessários.
vantagem: pode ser salvo para análise posterior
as capturas de pacotes podem ser salvas para análise ou inspeção posterior no padrão do setor .pcap E.formatos pcapng. Isso permite, por exemplo, que o tráfego suspeito seja salvo por um engenheiro de rede e, posteriormente, revisado por um analista de segurança. Uma grande variedade de ferramentas suporta esse formato, incluindo ferramentas de análise de segurança. Também é possível salvar uma captura de pacotes que consiste em várias horas de dados e revisá-la posteriormente.
vantagem: Hardware Agnóstico
SNMP e NetFlow ambos exigem suporte no nível de hardware de rede. Embora ambas as tecnologias tenham amplo suporte, elas não estão universalmente disponíveis. Também pode haver diferenças na forma como cada fornecedor os implementa. A captura de pacotes, por outro lado, não requer suporte de hardware especializado e pode ocorrer a partir de qualquer dispositivo que tenha acesso à rede.
desvantagem: tamanhos de arquivo Grandes
a captura completa de pacotes pode ocupar grandes quantidades de espaço em disco – em alguns casos, até 20 vezes mais espaço do que outras opções. Mesmo quando a filtragem é aplicada, um único arquivo de captura pode ocupar muitos gigabytes de armazenamento. Isso pode tornar as capturas de pacotes inadequadas para armazenamento a longo prazo. Esses tamanhos de arquivo Grandes também podem resultar em longos tempos de espera ao abrir um .pcap em uma ferramenta de análise de rede.
desvantagem: muita informação
embora as capturas de pacotes forneçam uma visão muito completa do tráfego de rede, elas geralmente são muito abrangentes. Muitas vezes, informações relevantes podem se perder em grandes somas de dados. As ferramentas de análise têm Arquivos de captura de ordem, classificação e filtro de recursos, mas muitos casos de uso podem ser melhor atendidos por outras opções. Muitas vezes, é possível solucionar problemas de uma rede ou detectar sinais de um ataque apenas com as versões resumidas do tráfego de rede disponíveis em outras soluções de monitoramento. Uma abordagem comum é usar uma tecnologia como o NetFlow para monitorar todo o tráfego e recorrer a uma captura completa de pacotes conforme necessário.
desvantagem: campos fixos
as iterações mais recentes do NetFlow permitem registros personalizáveis, o que significa que os administradores de rede podem escolher quais informações capturar. Como uma captura de pacote é baseada na estrutura existente de um pacote IP, não há espaço para personalização. Isso pode não ser um problema, mas, novamente, dependendo do caso de uso, pode não haver necessidade de capturar todos os campos de um pacote IP.
conclusão
a captura de pacotes é inestimável do ponto de vista de solução de problemas e segurança, mas nunca deve ser a única ferramenta em que um administrador de rede ou engenheiro de segurança depende. O aumento do uso de criptografia para fins legítimos e ilegítimos limita a eficácia de ferramentas como o Wireshark. As capturas de pacotes também não dão aos respondentes de incidentes uma grande ideia de quais ações ocorreram em um host. Os arquivos poderiam ter sido modificados, processos ocultos e novas contas de usuário criadas sem gerar um único pacote. A plataforma de proteção de dados Varonis fornece uma visão centrada em dados de sua organização que pode detectar ameaças que não são detectadas na rede. Como sempre, certifique-se de empregar práticas de defesa em profundidade e melhores em sua rede. E quando estiver pronto para adicionar o Varonis ao seu complemento de ferramentas de segurança, agende uma demonstração individual!