La captura de paquetes es simplemente el proceso de capturar los paquetes de datos que viajan a través de una red informática. Con una captura de paquete normal, solo se recopilan los datos auxiliares contenidos en el encabezado de un paquete, como la información de la dirección o el formato de Protocolo de Internet (IP) del paquete. En el caso de la captura profunda de paquetes (DPC), se adquiere el paquete completo, tanto la información del encabezado como la carga de datos real. El proceso también se conoce como detección de paquetes.
Cualquiera que sea el método de captura de paquetes, el proceso puede tener lugar en cualquiera de las capas del modelo de interconexión de sistemas abiertos (OSI) por encima de la capa uno, la capa física, ya que la capa física solo funciona con bits en forma de señales eléctricas. La captura de paquetes no ocurre hasta que esos flujos de unos y ceros se vuelven a convertir en paquetes de datos que luego se pueden recopilar. En cualquier interfaz de red dada, la recopilación solo puede ocurrir para los paquetes destinados a la dirección que pertenece a esa interfaz, a menos que la interfaz esté configurada para lo que se conoce como modo promiscuo. Una interfaz de red que actúa de manera promiscua es capaz de capturar no solo sus propios paquetes, sino también los destinados a otros.
Cuando un administrador de red desea adquirir los paquetes que llegan a través de una interfaz de red, tiene la opción de una colección completa o una colección filtrada. Una colección completa no tiene límites, por lo que se capturan todos y cada uno de los paquetes que cruzan la interfaz. Sin embargo, al filtrar paquetes, se evalúan a medida que atraviesan la interfaz y solo se recopilan ciertos paquetes que cumplen con criterios específicos. Esto permite al administrador almacenar solo los tipos de paquetes que le interesan o los paquetes que se dirigen a determinadas direcciones. Las colecciones filtradas también conservan los recursos de hardware y se pueden utilizar para redondear los paquetes que pueden ser necesarios más adelante para demostrar la culpabilidad.
Hay muchos propósitos detrás de la captura de paquetes, todos los cuales giran en torno a la noción de inspección profunda de paquetes (DPI). A medida que se adquieren los paquetes, se inspeccionan y analizan por muchas razones, la mayoría de las cuales involucran la detección de intrusiones, la seguridad e integridad de los datos o el rendimiento de la red, aunque existen algunos propósitos nefastos de la captura de paquetes. Como resultado, pueden surgir grandes preocupaciones sobre la privacidad al considerar la captura e inspección profunda de paquetes.
Cuando el proceso de análisis debe tener lugar, puede suceder inmediatamente, ya que los paquetes se mueven realmente a través de la interfaz para que el software de captura e inspección de paquetes pueda tomar decisiones. Alternativamente, se pueden almacenar en el disco duro de una computadora de forma indefinida. En el caso del análisis en tiempo real, los paquetes solo pueden evaluarse en función de problemas o preocupaciones de seguridad conocidos, mientras que cuando se recopilan en el almacenamiento, los especialistas en análisis forense de datos pueden analizarlos más tarde para ayudar a determinar cuándo o cómo se produjo una violación de seguridad.
Existen numerosos programas de captura de paquetes disponibles. Algunos fabricantes de hardware de red incluyen la capacidad en sus dispositivos, como las funciones de captura de paquetes integradas en el sistema operativo de red (IOS), que se proporcionan en el hardware de Cisco Systems®. Sin embargo, los rastreadores de paquetes existen en muchas formas, desde una simple recopilación hasta un análisis más detallado. Muchos de los rastreadores de paquetes más populares son proyectos de software de código abierto como Wireshark y WinPcap, que no solo capturan paquetes, sino que también manejan tareas de inspección y análisis de paquetes. Una comunidad diversa los actualiza con frecuencia para mantenerse al tanto de los problemas de seguridad más recientes.