Hvad er en ”Packet Sniffer” og hvordan virker det?

This post is also available in: English

Når det kommer til at stole på netværksprotokoller, bedste fremgangsmåder og overvågningsværktøjer for at sikre dataflow i et netværk, er ”Packet Sniffing” eller på dansk pakkesnusning den bedste mulighed for at hjælpe it-administratorer med at holde sig ajour med pakker (små formaterede dataenheder) og sikre, at de overføres problemfrit. Selvom denne teknik ofte er forbundet med cyberangreb, bruges den ofte af internetudbydere, offentlige myndigheder, annoncører og endda store organisationer til netværksovervågning.

Derfor, som defineret i vores cybersecurity ordliste er,

En pakkesnuser er en type software, der er designet til at overvåge og registrere trafik på et netværk. Det kan bruges til gode ting, fx til at køre diagnostiske tests og fejlfinding af potentielle problemer. Men det kan også bruges til ondsindede formål, fx til at snage i din private dataudveksling. Dette omfatter: din webbrowsinghistorik, dine downloads, de mennesker, du sender e-mails til osv.

Men hvordan fungerer en pakker sniffer? Simpelt – Når datapakker overføres, passerer de gennem flere noder i et netværk. Hvert netværkskort og den tilsluttede enhed undersøger en pakkes kontroloplysninger for at se, hvilken node pakken er på vej mod. Hvis en node finder, at pakken er adresseret til en anden node, slippes eller ignoreres pakken. På den anden side I pakke sniffing, er nogle noder programmeret til ikke at følge denne praksis og indsamle alle eller en bestemt prøve af pakker, uanset deres destination.

Som nævnt før kan en pakke sniffer have både positive og negative brugs cases, afhængigt af hvem der bruger det. Cyberangribere kan eksfiltrere følsomme oplysninger fra ukrypterede meddelelser. Hvis en bruger logger ind på hjemmesider over ukrypteret transmission er personens legitimationsoplysninger udsat i almindelig tekst og kan nemt opfanges af pakke sniffere. Ikke desto mindre tilbyder pakke sniffing også mange fordele, dem jeg vil diskutere nedenfor.

Fordele ved at bruge en pakke sniffer

Billedkilde: DNSstuff

#1. Den registrerer den grundlæggende årsag til et netværksproblem

Det er en vanskelig opgave at sikre, at alle programmer og servere i en organisation kører uden flaskehalse med ydeevnen. Når der opstår et problem, kan det være virkelig svært at identificere, hvilken netværks- eller appkomponent der forårsagede afmatningen. Derfor overvåger netværksadministratorer løbende deres netværk for rutinemæssig vedligeholdelse og optimering. Med pakkesnusere kan de indsamle oplysninger fra alle punkter i deres netværk for hurtigt at identificere de komponenter, der er ansvarlige for forsinkelsen.

#2. Det tilbyder ydelsesmålinger til forskellige adgangspunkter og trådløse controllere

It-teams udfører ofte PCAP (Packet Capture Analysis) for at måle svartider eller netværksforsinkelser. Det hjælper med at bestemme, hvor lang tid det tager en pakke at rejse fra en afsender til en modtager. Derudover kan de identificere overbelastede links, registrere apps, der genererer en usædvanlig mængde trafik, og træffe afhjælpende handlinger for at løse problemet. Med pakkesnusere kan teams få ydelsesmålinger for forskellige adgangspunkter og trådløse controllere, korrelere netværksdata på tværs af stakken og minimere nedetiden på netværket.

#3. Det giver trafikanalyse

Ved hjælp af avancerede IP-sniffere og pakkeanalysatorer kan it-teams kategorisere dataene baseret på destinationsserverens IP-adresser og porte, der er involveret i kommunikation, trafikmængde og meget mere. Med denne analyse er det muligt at skelne kritisk trafik (kræves til VOIP, ERP-suiter, CRMs osv.) fra ikke-forretningstrafik (sociale medier, uautoriserede messengers osv.). Desuden kan it-administratorer filtrere og markere mistænkeligt indhold.

#4. Det forbedrer båndbreddestyringen

Langsomme eller intermitterende netværk kan påvirke virksomhedens produktivitet betydeligt og føre til enorme tab. For at undgå sådanne problemer er organisationer afhængige af avancerede netværksovervågningsværktøjer, som igen er afhængige af pakkesnusning for at analysere netværkstrafik. Pakkesnusere hjælper med at forhindre interne og eksterne brugere i at misbruge netværket. Med trafikanalyse kan it-teams nemt identificere trafikstrømmen og WAN-båndbreddeforbruget, enhver uregelmæssig stigning i netværksforbruget og endda begrænse visse applikationer.

#5. Det sikrer netværkssikkerhed og overholdelse

Pakkesnusere hjælper med at opdage en stigning i trafikken, forsøg på netværksindtrængen og muliggøre dybere evaluering og afhjælpning af sikkerhedstrusler. De hjælper med at kontrollere status for WAN- og endpoint sikkerhedssystemer og hjælper også med dokumentation af overholdelse af lovgivningen ved at logge al perimeter- og endpointtrafik. Derudover kan sikkerhedsteams med pakkesnusere kontrollere effektiviteten af deres sikkerhedsopsætning bestående af firewalls, webfiltre, WAF, IPS / IDS-systemer og meget mere.

Your perimeter network is vulnerable to sophisticated attacks.

Heimdal® Network DNS Security

Is the next-generation network protection and response solution that will keep your systems safe.

• No need to deploy it on your endpoints;
• Protects any entry point into the organization, including BYODs;
• Stops even hidden threats using AI and your network traffic log;
• Complete DNS, HTTP and HTTPs protection, HIPS and HIDS;

Try it for FREE today 30-day Free Trial. Offer valid only for companies.

Bedste fremgangsmåder for pakkesnusning

Nu, hvor jeg har påpeget fordelene ved pakke sniffere, så lad mig uddybe nogle af de bedste praksis der er indenfor pakke sniffing.

#1. Forståelse af overvågningskrav

Når det kommer til netværksovervågning, er en stærk forståelse af netværkskoncepter obligatorisk. Generelt vælger it-specialister den filtrerede tilstand for kun at hente de specifikke oplysninger fra pakkerne, når de bruger en pakkesnuser. Det er ikke nok at indsamle pakkedata uden at vide, hvilke oplysninger der er vigtige for analysen. I mange tilfælde kan det resultere i informationsoverbelastning.

#2. Styrkelse af sikkerheden

Hver pakke indeholder en header, der identificerer kilden og destinationens IP og en nyttelast. Under dataoverførsler er det vigtigt at sikre, at nyttelasten er krypteret. Hvorfor? Da pakkesnusere også kan hente disse data, kan følsomme oplysninger fejlagtigt blive eksponeret, hvis krypteringen ikke er på plads. Som et ekstra sikkerhedslag kan it-administratorer konfigurere pakkesnusere til kun at kopiere headerdataene, da det er tilstrækkeligt til netværksovervågning og -analyse.

#3. Implementering af pakke sampling

Pakke sampling kan hjælpe med at løse problemet med en stor mængde data, der hurtigt fylder diskpladsen. I stedet for at indsamle data fra hver pakke anbefales it-teams at kopiere pakkedata ved faste frekvenser. På denne måde kan de give tilfredsstillende resultater over længere overvågningsperioder.

Afsluttende…

Sikring af sikker og pålidelig kommunikation via forskellige netværk er et afgørende krav i it-driften. En pakkesnuser kan hjælpe dig i dette henseende ved at målrette nye ressourcer, når du udvider din netværkskapacitet, administrerer din båndbredde, øger effektiviteten, sikrer levering af forretningstjenester, forbedrer sikkerheden, sikrer dataintegritet og forbedrer slutbrugeroplevelsen.

Hvad er dine tanker om pakke sniffere? Ville du og din organisation investere i et sådant værktøj? Fortæl os din holdning i kommentarerne nedenfor!

If you liked this post, you will enjoy our newsletter.

Get cybersecurity updates you'll actually want to read directly in your inbox.

I agree to have the submitted data processed by Heimdal Security according to the Privacy Policy