captarea pachetelor: ce este și ce trebuie să știți
captarea pachetelor este un instrument vital folosit pentru a menține rețelele care funcționează în siguranță și eficient. În mâinile greșite, poate fi folosit și pentru a fura date sensibile, cum ar fi numele de utilizator și parolele. În această postare, ne vom arunca cu capul în ceea ce este o captură de pachete, cum funcționează, ce fel de instrumente sunt utilizate și vom analiza câteva exemple de cazuri de utilizare.
- ce este captarea pachetelor?
- Cum Funcționează Captarea Pachetelor?
- cum se citește o captură de pachete
- formate, Biblioteci și filtre, Oh!
- instrumente de captare a pachetelor
- captare a pachetelor și cazuri de utilizare a Snifferului de pachete
- captare a pachetelor avantaje și dezavantaje
ce este captarea pachetelor?
captarea pachetelor se referă la acțiunea de captare a pachetelor Internet Protocol (IP) pentru revizuire sau analiză. Termenul poate fi folosit și pentru a descrie fișierele pe care instrumentele de captare a pachetelor le ies, care sunt adesea salvate în .format pcap. Captarea pachetelor este o tehnică comună de depanare pentru administratorii de rețea și este, de asemenea, utilizată pentru a examina traficul de rețea pentru amenințările de securitate. În urma unei încălcări a datelor sau a unui alt incident, capturile de pachete oferă indicii medico-legale vitale care ajută investigațiile. Din perspectiva unui actor de amenințare, capturile de pachete ar putea fi folosite pentru a fura parole și alte date sensibile. Spre deosebire de tehnicile active de recunoaștere, cum ar fi scanarea porturilor, captarea pachetelor poate fi realizată fără a lăsa urme în urmă pentru anchetatori.
Cum Funcționează Captarea Pachetelor?
există mai multe moduri de a prinde un pachet! Capturile de pachete pot fi realizate dintr-o piesă de echipament de rețea, cum ar fi un router sau un comutator, dintr-o piesă hardware dedicată numită tap, de pe laptopul sau desktopul unui analist și chiar de pe dispozitive mobile. Abordarea utilizată depinde de obiectivul final. Indiferent de abordarea utilizată, captarea pachetelor funcționează prin crearea de copii ale unora sau ale tuturor pachetelor care trec printr-un anumit punct din rețea.
capturarea pachetelor de la propria mașină este cel mai simplu mod de a începe, dar există câteva avertismente. În mod implicit, interfețele de rețea acordă atenție doar traficului destinat acestora. Pentru o vizualizare mai completă a traficului de rețea, veți dori să puneți interfața în modul promiscuu sau în modul monitor. Rețineți că această abordare va capta, de asemenea, o vizualizare limitată a rețelei; într-o rețea cu fir, de exemplu, veți vedea trafic numai pe portul de comutare local la care este conectat aparatul.
pe un router sau comutator, funcțiile cunoscute în mod diferit ca oglindire port, monitorizare port și analizor de port comutat (SPAN) permit administratorilor de rețea să dubleze traficul de rețea și să îl trimită la un port specificat, de obicei pentru a exporta pachete către o soluție dedicată de monitorizare. Multe comutatoare și routere de nivel enterprise au acum o funcție încorporată de captare a pachetelor care poate fi utilizată pentru a depana rapid direct din interfața CLI sau web a dispozitivului. Alte tipuri de echipamente de rețea, cum ar fi firewall-urile și punctele de acces fără fir, au, de asemenea, în mod obișnuit funcționalitate de captare a pachetelor.
dacă efectuați o captură de pachete într-o rețea deosebit de mare sau ocupată, o atingere de rețea dedicată ar putea fi cea mai bună opțiune. Robinetele sunt cel mai scump mod de a captura pachete, dar nu introduc nicio penalizare de performanță, deoarece sunt hardware dedicat.
cum să citiți o captură de pachete
pentru a înțelege și analiza o captură de pachete, veți avea nevoie de cunoștințe fundamentale despre conceptele de bază ale rețelei, în special modelul OSI. Deși pot exista diferențe între instrumentele specifice, capturile de pachete vor consta întotdeauna dintr-o sarcină utilă și unele anteturi. Sarcina utilă constă în datele reale transferate – acestea ar putea fi biți ai unui film de streaming, e-mailuri, ransomware sau orice altceva care traversează o rețea. Anteturile de pachete conțin toate informațiile critice care ajută echipamentele de rețea să decidă ce să facă cu fiecare pachet. Cele mai importante sunt adresele sursă și destinație, dar pachetele IP au un total de 14 anteturi care acoperă totul, de la clasa de servicii la tipul de Protocol. Un analist de rețea profesionist va avea cunoștințe detaliate despre toate aceste domenii, dar este nevoie de o înțelegere generală a structurii pachetelor pentru a începe depanarea problemelor de performanță sau pentru a afla mai multe despre modul în care funcționează rețelele.
versiunea | lungimea antetului | valoarea DSCP | ECN | lungimea totală a pachetului |
identificare | steaguri | fragment Offset | ||
timp pentru a trăi(TTL) | Protocol | Header Checksum | ||
adresa IP sursă |
||||
adresa IP de destinație |
||||
opțional |
în afară de adresele sursă și destinație, unele dintre cele mai importante câmpuri dintr-o depanare perspectiva poate include servicii diferențiate punct de cod (DSCP), steaguri, și TTL. DSCP este utilizat pentru a asigura calitatea serviciului (QoS) și este un domeniu important pentru traficul în timp real, cum ar fi Voice over IP (VoIP). Steagurile sunt utilizate cel mai adesea pentru a controla fragmentarea pachetelor și pot deveni o problemă atunci când un pachet care are steagul nu fragmenta depășește, de asemenea, dimensiunea maximă a unității de transmisie (MTU) a unei legături de rețea. Valorile TTL sunt decrementate după fiecare hop și pot oferi indicii importante despre calea unui pachet prin rețea.
pentru tipurile de trafic necriptate, sniffers de pachete pot săpa mai adânc decât doar anteturile și pot inspecta sarcina utilă reală. Acest lucru poate fi incredibil de util pentru depanarea problemelor de rețea, dar este, de asemenea, o problemă potențială de securitate atunci când sunt prezente date sensibile, cum ar fi numele de utilizator și parolele. Înțelegerea semnificației din spatele sarcinii utile a unui pachet poate necesita cunoașterea protocolului utilizat.
captarea pachetelor și aplicațiile de analiză a rețelei includ frecvent instrumente pentru filtrarea, vizualizarea și inspectarea unor cantități mari de date. Aceste instrumente permit o analiză care nu este posibilă prin inspecția manuală a unei capturi de pachete. Fișierele de captare pot fi, de asemenea, introduse într-un sistem de detectare a intruziunilor/sisteme de protecție (IDS/IPS), informații de securitate și sistem de gestionare a evenimentelor (Siem) sau alte tipuri de produse de securitate pentru a căuta semne de atac sau încălcare a datelor.
formate, Biblioteci și filtre, Oh!
când vine vorba de capturi de pachete, există o serie de terminologii conexe care pot deveni confuze destul de repede. Să descompunem câțiva dintre cei mai comuni și importanți termeni pe care i-ați putea auzi:
formate de captare a pachetelor
în timp ce instrumentele de captare a pachetelor precum Wireshark pot fi utilizate pentru a inspecta traficul în timp real, este mai frecvent să salvați capturile într-un fișier pentru analize ulterioare. Aceste fișiere pot fi salvate într-o varietate de formate. .fișierele pcap sunt cele mai frecvente și sunt, în general, compatibile cu o gamă largă de analizoare de rețea și alte instrumente. .pcapng se bazează pe simplu .format pcap cu câmpuri și capabilități noi și este acum formatul implicit la salvarea fișierelor în Wireshark. Unele instrumente comerciale pot utiliza, de asemenea, formate proprietare.
biblioteci
biblioteci precum libpcap, winpcap și npcap sunt adevăratele stele ale spectacolului de captare a pachetelor, conectându-se la stiva de rețea a unui sistem de operare și oferind capacitatea de a analiza pachetele care se deplasează între interfețe. Multe dintre aceste biblioteci sunt proiecte open-source, deci le puteți găsi într-o mare varietate de instrumente comerciale și gratuite de captare a pachetelor. În unele cazuri, poate fi necesar să instalați biblioteca separat de instrument.
filtrarea
captarea completă a pachetelor poate necesita destul spațiu și poate solicita mai multe resurse de la dispozitivul de captare. De asemenea, este excesiv în majoritatea cazurilor – cele mai interesante informații sunt de obicei doar o mică parte din traficul total observat. Capturile de pachete sunt adesea filtrate pentru a elimina informațiile relevante. Acest lucru se poate baza pe orice, de la sarcina utilă la adresa IP la o combinație de factori.
instrumente de captare a pachetelor
un număr mare de instrumente diferite sunt disponibile pentru a captura și analiza pachetele care traversează rețeaua dvs. Acestea sunt uneori cunoscute sub numele de sniffers de pachete. Iată câteva dintre cele mai populare:
Wireshark
instrumentul de pachete prin excelență, Wireshark este instrumentul de captare a pachetelor pentru mulți administratori de rețea, analiști de securitate și geeks amatori. Cu o interfață grafică simplă și o mulțime de funcții pentru sortarea, analizarea și simularea traficului, Wireshark combină ușurința de utilizare și capacitățile puternice. Pachetul Wireshark include, de asemenea, un utilitar de linie de comandă numit tshark.
tcpdump
ușor, versatil și preinstalat pe multe sisteme de operare asemănătoare UNIX, tcpdump este visul unui Drogat CLI devenit realitate atunci când vine vorba de capturi de pachete. Acest instrument opensource poate captura rapid pachete pentru analize ulterioare în instrumente precum Wireshark, dar are o mulțime de comenzi și comutatoare proprii pentru a înțelege sume mari de date de rețea.
Solarwinds Network Performance Monitor
acest instrument comercial a fost mult timp un favorit pentru ușurința de utilizare, vizualizări și capacitatea de a clasifica traficul în funcție de aplicație. Deși instrumentul se instalează numai pe platformele Windows, poate mirosi și analiza traficul de pe orice tip de dispozitiv.
ColaSoft Capsa
ColaSoft face un sniffer de pachete comerciale destinate clienților întreprinderii, dar oferă și o ediție redusă destinată studenților și celor care tocmai intră în rețea. Instrumentul are o varietate de caracteristici de monitorizare pentru a ajuta la depanarea și analiza în timp real.
Kismet
Kismet este un utilitar dedicat captarea traficului fără fir și detectarea rețelelor și dispozitivelor fără fir. Disponibil pentru platformele Linux, Mac și Windows, acest instrument acceptă o gamă largă de surse de captare, inclusiv radiouri Bluetooth și Zigbee. Cu configurarea corectă, puteți captura pachete de pe toate dispozitivele din rețea.
captarea pachetelor și cazuri de utilizare a Snifferului de pachete
în timp ce termenul de sniffer de pachete poate evoca imagini ale hackerilor care ating în mod ascuns comunicațiile sensibile, există o mulțime de utilizări legitime pentru un sniffer de pachete. Următoarele sunt câteva cazuri tipice de utilizare pentru sniffers de pachete:
descoperirea activelor/recunoașterea pasivă
pachetele prin însăși natura lor includ adrese sursă și destinație, astfel încât o captură de pachete poate fi utilizată pentru a descoperi puncte finale active într-o anumită rețea. Cu suficiente date, este chiar posibil să amprentați punctele finale. Când se face în scopuri legitime de afaceri, aceasta se numește descoperire sau inventar. Cu toate acestea, natura pasivă a unei capturi de pachete îl face o modalitate excelentă pentru atacatorii rău intenționați de a aduna informații pentru etapele ulterioare ale unui atac. Desigur, aceeași tehnică poate fi utilizată de echipa roșie care testează securitatea unei organizații
depanare
când depanați problemele de rețea, inspectarea traficului real de rețea poate fi cel mai eficient mijloc de îngustare a cauzei principale a unei probleme. Sniffers pachete permite administratorilor de rețea și ingineri pentru a vizualiza conținutul pachetelor care traversează rețeaua. Aceasta este o capacitate esențială atunci când depanați protocoalele de rețea fundamentale, cum ar fi DHCP, ARP și DNS. Capturile de pachete nu dezvăluie totuși conținutul traficului de rețea criptat.
Sniffing pachete poate ajuta la verificarea faptului că traficul este de a lua calea corectă în întreaga rețea, și este tratat cu prioritate corectă. O legătură de rețea congestionată sau ruptă este adesea ușor de observat într-o captură de pachete, deoarece va fi prezentă doar o parte a unei conversații de obicei pe două fețe. Conexiunile cu un număr mare de încercări sau pachete abandonate indică adesea o legătură suprautilizată sau un hardware de rețea defect.
detectarea intruziunilor
traficul de rețea suspect poate fi salvat ca captură de pachete și introdus într-o soluție IDS, IPS sau Siem pentru analize suplimentare. Atacatorii depun eforturi mari pentru a se amesteca cu traficul normal de rețea, dar o inspecție atentă poate descoperi traficul ascuns. Adresele IP rău intenționate cunoscute, încărcăturile utile și alte detalii minuscule pot indica un atac. Chiar și ceva la fel de inofensiv ca o solicitare DNS, dacă este repetată la un interval regulat, ar putea fi un semn al unui far de comandă și control.
răspunsul la incidente și criminalistica
capturile de pachete oferă o oportunitate unică pentru respondenții la incidente. Atacatorii pot lua măsuri pentru a-și acoperi urmele pe punctele finale, dar nu pot trimite pachete care au traversat deja o rețea. Fie că este vorba de malware, de exfiltrarea datelor sau de un alt tip de incident, capturile de pachete pot detecta adesea semne ale unui atac pe care alte instrumente de securitate îl ratează. Deoarece un antet de pachete va conține întotdeauna atât o sursă, cât și o adresă de destinație, echipele de răspuns la incidente pot utiliza capturi de pachete pentru a urmări calea unui atacator prin rețea sau pentru a detecta semne ale datelor care sunt exfiltrate din rețea.
Packet Capture avantaje și dezavantaje
după cum sa menționat deja, capturile de pachete sunt un avantaj extraordinar pentru administratorii de rețea și echipele de securitate. Cu toate acestea, acestea nu sunt singura opțiune pentru monitorizarea traficului de rețea și pot exista cazuri în care lucruri precum SNMP sau NetFlow sunt alegeri mai bune. Iată o privire la unele dintre avantajele și dezavantajele utilizării capturilor de pachete:
avantaj: cea mai completă privire la traficul de rețea
captarea pachetelor este, prin definiție, o copie duplicată a pachetelor reale care traversează o rețea sau o legătură de rețea. Prin urmare, este cea mai amănunțită privire asupra traficului de rețea posibil. Capturile de pachete conțin un nivel mare de detalii care nu sunt disponibile în alte soluții de monitorizare, inclusiv sarcina utilă completă, toate câmpurile antetului IP și, în multe cazuri, chiar informații despre interfața de captare. Acest lucru poate face capturarea singura soluție viabilă în cazurile în care este necesară o mulțime de detalii.
avantaj: pot fi salvate pentru analize suplimentare
capturi de pachete pot fi salvate pentru analize suplimentare sau inspecție în industrie standard .pcap și .formate pcapng. Acest lucru permite, de exemplu, salvarea traficului suspect de către un inginer de rețea și apoi revizuirea ulterioară de către un analist de securitate. O mare varietate de instrumente acceptă acest format, inclusiv instrumente de analiză a securității. De asemenea, este posibil să salvați o captură de pachete constând din date în valoare de câteva ore și să o revizuiți ulterior.
avantaj: Hardware Agnostic
SNMP și NetFlow ambele necesită suport la nivel de hardware de rețea. Deși ambele tehnologii se bucură de un sprijin larg, acestea nu sunt disponibile Universal. De asemenea, pot exista diferențe în modul în care fiecare furnizor le implementează. Captarea pachetelor, pe de altă parte, nu necesită suport hardware specializat și poate avea loc de pe orice dispozitiv care are acces la rețea.
dezavantaj: dimensiuni mari de fișiere
captarea completă a pachetelor poate ocupa cantități mari de spațiu pe disc – în unele cazuri de până la 20 de ori mai mult spațiu decât alte opțiuni. Chiar și atunci când se aplică filtrarea, un singur fișier de captare poate ocupa mulți gigaocteți de stocare. Acest lucru poate face capturile de pachete nepotrivite pentru stocarea pe termen lung. Aceste dimensiuni mari de fișiere pot duce, de asemenea, la perioade lungi de așteptare la deschiderea unui .pcap într-un instrument de analiză a rețelei.
dezavantaj: prea multe informații
în timp ce capturile de pachete oferă o privire foarte completă asupra traficului de rețea, acestea sunt adesea prea cuprinzătoare. Informațiile relevante se pot pierde adesea în cantități mari de date. Instrumentele de analiză au caracteristici comandați, sortați și filtrați fișierele de captare, dar multe cazuri de utilizare ar putea fi mai bine deservite de alte opțiuni. Este adesea posibil să depanați o rețea sau să identificați semnele unui atac doar cu versiunile rezumate ale traficului de rețea disponibile în alte soluții de monitorizare. O abordare comună este utilizarea unei tehnologii precum NetFlow pentru a monitoriza tot traficul și a apela la o captură completă a pachetelor, după cum este necesar.
dezavantaj: câmpuri fixe
cele mai recente iterații ale NetFlow permit înregistrări personalizabile, ceea ce înseamnă că administratorii de rețea pot alege ce informații să capteze. Deoarece o captură de pachete se bazează pe structura existentă a unui pachet IP, nu există loc pentru personalizare. Este posibil să nu fie o problemă, dar din nou, în funcție de cazul de utilizare, este posibil să nu fie nevoie să capturați toate câmpurile unui pachet IP.
concluzie
captarea pachetelor este neprețuită din punct de vedere al depanării și securității, dar nu ar trebui să fie niciodată singurul instrument pe care se bazează un administrator de rețea sau un inginer de securitate. Utilizarea sporită a criptării atât în scopuri legitime, cât și nelegitime limitează eficacitatea instrumentelor precum Wireshark. Capturile de pachete, de asemenea, nu oferă respondenților incidentului o idee despre acțiunile care au avut loc pe o gazdă. Fișierele ar fi putut fi modificate, procesele ascunse și noile conturi de utilizator create fără a genera un singur pachet. Platforma de protecție a datelor Varonis oferă o vizualizare centrată pe date a organizației dvs., care poate detecta amenințări nedetectate în rețea. Ca întotdeauna, asigurați-vă că utilizați apărarea în profunzime și cele mai bune practici în rețeaua dvs. Și când sunteți gata să adăugați Varonis la complementul dvs. de instrumente de securitate, programați o demonstrație individuală!