L’acquisizione dei pacchetti è semplicemente il processo di cattura dei pacchetti di dati che viaggiano attraverso una rete di computer. Con una normale acquisizione di pacchetti, vengono raccolti solo i dati ausiliari contenuti nell’intestazione di un pacchetto, come le informazioni sull’indirizzo o il formato IP (Internet Protocol) del pacchetto. Nel caso della Deep Packet Capture (DPC), viene acquisito l’intero pacchetto, sia le informazioni di intestazione che il payload effettivo dei dati. Il processo viene spesso definito anche sniffing di pacchetti.
Qualunque sia il metodo di acquisizione dei pacchetti, il processo può avvenire su uno qualsiasi degli strati del modello di interconnessione dei sistemi aperti (OSI) sopra il livello uno, il livello fisico, poiché il livello fisico funziona solo con bit sotto forma di segnali elettrici. L’acquisizione dei pacchetti non avviene finché i flussi di uno e zero non vengono riconvertiti in pacchetti di dati che possono essere raccolti. Su una data interfaccia di rete, la raccolta può avvenire solo per i pacchetti destinati all’indirizzo che appartiene a quell’interfaccia, a meno che l’interfaccia non sia configurata per la cosiddetta modalità promiscua. Un’interfaccia di rete che agisce in modo promiscuo è in grado di catturare non solo i propri pacchetti, ma anche quelli destinati ad altri.
Quando un amministratore di rete desidera acquisire i pacchetti provenienti da un’interfaccia di rete, ha l’opzione di una raccolta completa o di una raccolta filtrata. Una raccolta completa non ha confini, quindi tutti i pacchetti che attraversano l’interfaccia vengono catturati. Quando si filtrano i pacchetti, tuttavia, vengono valutati mentre attraversano l’interfaccia e vengono raccolti solo alcuni pacchetti che soddisfano criteri specifici. Ciò consente all’amministratore di memorizzare solo i tipi di pacchetti a cui è interessato oi pacchetti diretti a determinati indirizzi. Le raccolte filtrate conservano anche le risorse hardware e possono essere utilizzate per arrotondare i pacchetti che potrebbero essere necessari in seguito per dimostrare la colpevolezza.
Ci sono molti scopi dietro l’acquisizione dei pacchetti, che ruotano tutti attorno alla nozione di Deep Packet Inspection (DPI). Quando i pacchetti vengono acquisiti, vengono ispezionati e analizzati per molte ragioni, la maggior parte delle quali riguarda il rilevamento delle intrusioni, la sicurezza e l’integrità dei dati o le prestazioni della rete, sebbene esistano alcuni scopi nefasti dell’acquisizione dei pacchetti. Di conseguenza, possono sorgere forti preoccupazioni sulla privacy quando si considera l’acquisizione e l’ispezione di pacchetti approfonditi.
Quando il processo di analisi deve aver luogo, può avvenire immediatamente, poiché i pacchetti si stanno effettivamente muovendo attraverso l’interfaccia in modo che il software di acquisizione e ispezione dei pacchetti possa prendere decisioni. In alternativa, possono essere archiviati sul disco rigido di un computer a tempo indeterminato. Nel caso dell’analisi in tempo reale, i pacchetti possono essere valutati solo rispetto a problemi o problemi di sicurezza noti, mentre quando vengono raccolti nello spazio di archiviazione, possono essere analizzati in seguito da specialisti di data forensics per aiutare a determinare quando o come si è verificata una violazione della sicurezza.
Sono disponibili numerosi programmi di acquisizione di pacchetti. Alcuni produttori di hardware di rete includono la funzionalità nei propri dispositivi, come le funzionalità di acquisizione dei pacchetti integrate nell’IOS (Internetwork Operating System), fornite sull’hardware Cisco Systems®. Tuttavia, gli sniffer di pacchetti esistono in molte forme, dalla semplice raccolta all’analisi più dettagliata. Molti degli sniffer di pacchetti più popolari sono progetti software open source come Wireshark e WinPcap, che non solo catturano i pacchetti, ma gestiscono anche l’ispezione dei pacchetti e le attività di analisi. Vengono aggiornati frequentemente da una comunità diversificata per tenersi al passo con i più recenti problemi di sicurezza.