• Articles
• admin

Packet capture är ett viktigt verktyg som används för att hålla nätverk som fungerar säkert och effektivt. I fel händer kan den också användas för att stjäla känsliga data som användarnamn och lösenord. I det här inlägget kommer vi att dyka in i vad en paketfångst är, hur det fungerar, vilken typ av verktyg som används och titta på några exempel på användningsfall.

• Vad är Packet Capture?
• Hur Fungerar Packet Capture?
• hur man läser ett paket fånga
• format, bibliotek och filter, Oh My!
• Packet Capture Tools
• Packet Capture och Packet Sniffer användningsfall
• Packet Capture fördelar och nackdelar

Vad är Packet Capture?

Packet Capture avser åtgärden att fånga Internet Protocol (IP) paket för granskning eller analys. Termen kan också användas för att beskriva de filer som packet capture tools utgång, som ofta sparas i .pcap-format. Fånga paket är en vanlig felsökningsteknik för nätverksadministratörer, och används också för att undersöka nätverkstrafik för säkerhetshot. Efter en dataintrång eller annan incident, paket fångar ger viktiga kriminaltekniska ledtrådar som stöd utredningar. Ur ett hot skådespelarens perspektiv, paket fångar kan användas för att stjäla lösenord och andra känsliga data. Till skillnad från aktiva rekognoseringstekniker som portskanning kan fånga paket åstadkommas utan att lämna några spår bakom för utredare.

Hur Fungerar Packet Capture?

det finns mer än ett sätt att fånga ett paket! Paket fångar kan göras från en bit av nätverksutrustning som en router eller switch, från en dedikerad bit av hårdvara som kallas en kran, från en analytikerns laptop eller desktop, och även från mobila enheter. Det tillvägagångssätt som används beror på slutmålet. Oavsett vilket tillvägagångssätt som används, fungerar paketfångst genom att skapa kopior av några eller alla paket som passerar genom en viss punkt i nätverket.

fånga paket från din egen maskin är det enklaste sättet att komma igång, men det finns några varningar. Som standard uppmärksammar nätverksgränssnitt endast trafik som är avsedd för dem. För en mer fullständig bild av nätverkstrafik vill du sätta gränssnittet i promiskuöst läge eller bildskärmsläge. Tänk på att detta tillvägagångssätt också kommer att fånga en begränsad bild av nätverket; i ett trådbundet nätverk ser du till exempel bara trafik på den lokala switchporten som din maskin är ansluten till.

på en router eller switch, funktioner som är kända på olika sätt som portspegling, portövervakning och switchad port analyzer (SPAN) tillåter nätverksadministratörer att duplicera nätverkstrafik och skicka den till en viss port, vanligtvis för att exportera paket till en dedikerad övervakningslösning. Många switchar och routrar i företagsklass har nu en inbäddad paketinspelningsfunktion som kan användas för att snabbt felsöka direkt från enhetens CLI-eller webbgränssnitt. Andra typer av nätverksutrustning som brandväggar och trådlösa åtkomstpunkter har också ofta paketinspelningsfunktionalitet.

om du utför en paketinspelning i ett särskilt stort eller upptaget nätverk kan en dedikerad nätverkskran vara det bästa alternativet. Kranar är det dyraste sättet att fånga paket men införa ingen prestanda straff eftersom de är dedikerad hårdvara.

hur man läser en Paketfångst

för att förstå och analysera en paketfångst behöver du grundläggande kunskaper om grundläggande nätverkskoncept, särskilt OSI-modellen. Även om det kan finnas skillnader mellan specifika verktyg, kommer paketfångst alltid att bestå av en nyttolast och vissa rubriker. Nyttolasten består av den faktiska data som överförs – det kan vara bitar av en Strömmande film, e-post, ransomware eller något annat som passerar ett nätverk. Pakethuvuden innehåller all viktig information som hjälper nätverksutrustning att bestämma vad man ska göra med varje paket. Det viktigaste är käll-och destinationsadresserna, men IP-paket har totalt 14 rubriker som täcker allt från Klass av tjänst till protokolltyp. En professionell nätverksanalytiker kommer att ha detaljerad kunskap om alla dessa områden, men en allmän förståelse för paketstrukturen är allt som krävs för att komma igång med felsökning av prestandaproblem eller lära sig mer om hur nätverk fungerar.

Version	huvudlängd	DSCP-värde	ECN	Total Paketlängd
identifiering		flaggor	Fragmentförskjutning
tid att leva (TTL)	protokoll	Header kontrollsumma
källa IP-adress
Destination IP-adress
valfritt

förutom käll-och destinationsadresser, några av de viktigaste fälten från en felsökning perspektiv kan inkludera differentierade tjänster kodpunkt (DSCP), flaggor och TTL. DSCP används för att säkerställa kvaliteten på tjänsten (QoS), och är ett viktigt fält för realtidstrafik som Voice over IP (VoIP). Flaggor används oftast för att styra paketfragmentering och kan bli ett problem när ett paket som har don ’ t Fragment-flaggan också överstiger den maximala överföringsenheten (MTU) storleken på en nätverkslänk. TTL-värden minskas efter varje hopp och kan ge viktiga ledtrådar om ett paket väg genom nätverket.

för okrypterade typer av trafik kan paketsniffare gräva djupare än bara rubrikerna och inspektera den faktiska nyttolasten. Detta kan vara otroligt användbart för felsökning av nätverksproblem men är också ett potentiellt säkerhetsproblem när känsliga data som användarnamn och lösenord finns. Att förstå innebörden bakom ett paket nyttolast kan kräva kunskap om protokollet som används.

Paketfångst-och nätverksanalysapplikationer innehåller ofta verktyg för att filtrera, visualisera och inspektera stora mängder data. Dessa verktyg möjliggör analys som inte är möjlig genom manuell inspektion av en paketfångst. Fånga filer kan också matas in i ett intrångsdetekteringssystem/skyddssystem (IDS/IPS), säkerhetsinformation och Händelsehanteringssystem (SIEM) eller andra typer av säkerhetsprodukter för att leta efter tecken på en attack eller dataintrång.

format, bibliotek och filter, Åh min!

när det gäller paketfångst finns det en rad relaterade terminologier som kan bli förvirrande ganska snabbt. Låt oss bryta ner några av de vanligaste och viktigaste termerna du kan höra:

Paketinspelningsformat

medan paketinspelningsverktyg som Wireshark kan användas för att inspektera trafik i realtid, är det vanligare att spara fångar i en fil för senare analys. Dessa filer kan sparas i olika format. .pcap-filer är de vanligaste och är i allmänhet kompatibla med ett brett utbud av nätverksanalysatorer och andra verktyg. .pcapng bygger på det enkla .pcap-format med nya fält och funktioner och är nu standardformatet när du sparar filer i Wireshark. Vissa kommersiella verktyg kan också använda egna format.

Bibliotek

bibliotek som libpcap, winpcap och npcap är de verkliga stjärnorna i paketfångstprogrammet, som ansluter sig till ett operativsystems nätverksstack och ger möjlighet att peer in i paket som rör sig mellan gränssnitt. Många av dessa bibliotek är open source-projekt, så du kan hitta dem i en mängd olika både kommersiella och gratis paketinspelningsverktyg. I vissa fall kan du behöva installera biblioteket separat från verktyget.

filtrering

Full packet capture kan ta en hel del utrymme och kräva mer resurser från fånga enheten. Det är också overkill i de flesta fall – den mest intressanta informationen är vanligtvis bara en liten del av den totala trafiken som observeras. Paket fångar ofta filtreras för att sålla bort relevant information. Detta kan baseras på allt från nyttolast till IP-adress till en kombination av faktorer.

Paketinspelningsverktyg

ett stort antal olika verktyg finns tillgängliga för att fånga och analysera paketen som passerar ditt nätverk. Dessa är ibland kända som paket sniffers. Här är några av de mest populära:

Wireshark

det väsentliga paketverktyget, Wireshark är go-to-paketinspelningsverktyget för många nätverksadministratörer, säkerhetsanalytiker och amatörgeeks. Med en enkel GUI och massor av funktioner för sortering, analys och känsla av trafik, Wireshark kombinerar användarvänlighet och kraftfulla funktioner. Wireshark-paketet innehåller också ett kommandoradsverktyg som heter tshark.

tcpdump

lätt, mångsidig och förinstallerad på många UNIX-liknande operativsystem, tcpdump är en CLI junkie dröm när det gäller paketfångst. Detta opensource-verktyg kan snabbt fånga paket för senare analys i verktyg som Wireshark men har gott om egna kommandon och växlar för att förstå stora summor nätverksdata.

SolarWinds Network Performance Monitor

detta kommersiella verktyg har länge varit en favorit för sin användarvänlighet, visualiseringar och förmåga att klassificera trafik efter applikation. Även om verktyget bara installeras på Windows-plattformar kan det sniffa och analysera trafik från alla typer av enheter.

ColaSoft Capsa

ColaSoft gör en kommersiell paketsniffer riktad till företagskunder, men erbjuder också en avskalad utgåva riktad till studenter och de som bara kommer in i nätverk. Verktyget har en mängd olika övervakningsfunktioner för att underlätta felsökning och analys i realtid.

Kismet

Kismet är ett verktyg som ägnas åt att fånga trådlös trafik och upptäcka trådlösa nätverk och enheter. Tillgängligt för Linux -, Mac-och Windows-plattformar, stöder detta verktyg ett brett utbud av fångstkällor inklusive Bluetooth-och Zigbee-radioer. Med rätt inställning kan du fånga paket från alla enheter i nätverket.

paket fånga och paket Sniffer användningsfall

medan termen Paketsniffer kan framkalla bilder av hackare som hemligt utnyttjar känslig kommunikation, finns det gott om legitima användningsområden för en paketsniffer. Följande är några typiska användningsfall för paket sniffers:

Asset Discovery/passiv spaning

paket till sin natur inkluderar käll-och destinationsadresser, så en paketfångst kan användas för att upptäcka aktiva slutpunkter på ett visst nätverk. Med tillräckligt med data är det till och med möjligt att fingeravtrycka slutpunkterna. När det görs för legitima affärsändamål kallas detta upptäckt eller inventering. Den passiva karaktären hos en paketfångst gör det dock till ett utmärkt sätt för skadliga angripare att samla in information för ytterligare stadier av en attack. Naturligtvis kan samma teknik användas av red teamers som testar en organisations säkerhet

felsökning

vid felsökning av nätverksproblem kan inspektion av den faktiska nätverkstrafiken vara det mest effektiva sättet att minska orsaken till ett problem. Paketsniffare tillåter nätverksadministratörer och ingenjörer att se innehållet i paket som passerar nätverket. Detta är en viktig funktion vid felsökning av grundläggande nätverksprotokoll som DHCP, ARP och DNS. Paketupptagningar avslöjar dock inte innehållet i krypterad nätverkstrafik.

Sniffing-paket kan hjälpa till att verifiera att trafiken tar rätt väg över nätverket och behandlas med rätt prioritet. En överbelastad eller trasig nätverkslänk är ofta lätt att upptäcka i en paketfångst eftersom endast en sida av en typiskt tvåsidig konversation kommer att vara närvarande. Anslutningar med ett stort antal försök eller tappade paket är ofta en indikation på en överanvänd länk eller felaktig nätverkshårdvara.

intrångsdetektering

misstänkt nätverkstrafik kan sparas som paketfångst och matas in i en IDS -, IPS-eller SIEM-lösning för vidare analys. Angripare går mycket långt för att smälta in i normal nätverkstrafik, men en noggrann inspektion kan avslöja hemlig trafik. Kända skadliga IP-adresser, kontrollampa nyttolaster, och andra små detaljer kan alla vara ett tecken på en attack. Även något så oskyldigt som en DNS-förfrågan, om det upprepas med ett regelbundet intervall, kan vara ett tecken på ett kommando-och kontrollfyr.

Incident Response och Forensics

paket fångar ger en unik möjlighet för incident responders. Angripare kan vidta åtgärder för att täcka sina spår på slutpunkter, men de kan inte ta bort paket som redan har passerat ett nätverk. Oavsett om det är skadlig kod, dataexfiltrering eller någon annan typ av incident, kan paketfångst ofta upptäcka tecken på en attack som andra säkerhetsverktyg saknar. Eftersom ett pakethuvud alltid innehåller både en käll-och destinationsadress kan incidentsvarsteam använda paketfångst för att spåra en angripares väg via nätverket eller upptäcka tecken på att data exfiltreras ur nätverket.

Packet Capture fördelar och nackdelar

som redan nämnts är paketfångst en enorm tillgång för nätverksadministratörer och säkerhetsgrupper. De är dock inte det enda alternativet för övervakning av nätverkstrafik, och det kan finnas tillfällen när saker som SNMP eller NetFlow är bättre val. Här är en titt på några av fördelarna och nackdelarna med att använda paketfångst:

fördel: mest kompletta titta på nätverkstrafik

Paketfångst är per definition en kopia av de faktiska paketen som passerar ett nätverk eller nätverkslänk. Det är därför den mest grundliga titt på nätverkstrafik möjligt. Paketupptagningar innehåller en stor detaljnivå som inte är tillgänglig i andra övervakningslösningar, inklusive fullständig nyttolast, alla IP-rubrikfält och i många fall även information om capture-gränssnittet. Detta kan göra att fånga den enda hållbara lösningen i fall där mycket detaljer krävs.

fördel: kan sparas för vidare analys

paket fångar kan sparas för vidare analys eller inspektion i branschstandard .pcap och .pcapng-format. Detta gör att till exempel misstänkt trafik kan sparas av en nätverksingenjör och senare granskas av en säkerhetsanalytiker. Ett brett utbud av verktyg stöder detta format, inklusive säkerhetsanalysverktyg. Det är också möjligt att spara ett paket fånga bestående av flera timmars värde av data och granska den vid ett senare tillfälle.

fördel: hårdvara agnostiker

SNMP och NetFlow båda kräver stöd på nätverkshårdvarunivå. Medan båda teknikerna har brett stöd, är de inte universellt tillgängliga. Det kan också finnas skillnader i hur varje leverantör implementerar dem. Packet capture, å andra sidan, kräver inte specialiserat hårdvarustöd och kan ske från vilken enhet som helst som har tillgång till nätverket.

nackdel: stora filstorlekar

full paketinspelning kan ta upp stora mängder diskutrymme – i vissa fall upp till 20 gånger så mycket utrymme som andra alternativ. Även när filtrering tillämpas kan en enda inspelningsfil ta upp många gigabyte lagring. Detta kan göra paketfångst olämpliga för långvarig lagring. Dessa stora filstorlekar kan också resultera i långa väntetider när du öppnar en .pcap i ett nätverksanalysverktyg.

nackdel: för mycket Information

medan paket fångar för att ge en mycket komplett titt på nätverkstrafik, är de ofta för omfattande. Relevant information kan ofta gå vilse i stora mängder data. Analysverktyg har funktioner ordning, sortera och filtrera fånga filer, men många användningsfall kan vara bättre betjänas av andra alternativ. Det är ofta möjligt att felsöka ett nätverk eller upptäcka tecken på en attack med bara de sammanfattade versionerna av nätverkstrafik som finns i andra övervakningslösningar. Ett vanligt tillvägagångssätt är att använda en teknik som NetFlow för att övervaka all trafik och vända sig till en fullständig paketfångst efter behov.

nackdel: fasta fält

de senaste iterationerna av NetFlow möjliggör anpassningsbara poster, vilket innebär att nätverksadministratörer kan välja vilken information som ska fångas. Eftersom en paketfångst är baserad på den befintliga strukturen för ett IP-paket finns det inget utrymme för anpassning. Det här kanske inte är ett problem, men beroende på användningsfallet kanske det inte finns något behov av att fånga alla fält i ett IP-paket.

slutsats

Packet capture är ovärderligt ur ett felsöknings-och säkerhetsperspektiv, men bör aldrig vara det enda verktyget som en nätverksadministratör eller säkerhetsingenjör förlitar sig på. Den ökade användningen av kryptering för både legitima och olagliga ändamål begränsar effektiviteten hos verktyg som Wireshark. Paket fångar också inte ge incident responders mycket av en uppfattning om vilka åtgärder som har ägt rum på en värd. Filer kunde ha ändrats, processer dolda och nya användarkonton skapades utan att generera ett enda paket. Varonis Data Protection platform ger en datacentrerad bild av din organisation som kan upptäcka hot som går oupptäckt i nätverket. Som alltid, se till att använda försvars djupgående och bästa praxis i ditt nätverk. Och när du är redo att lägga till Varonis till ditt komplement av säkerhetsverktyg, Schemalägg en en-mot-en-demo!