Analizador de paquetes

Captura de pantalla del analizador de protocolo de red Wireshark

Un analizador de paquetes, también conocido como detector de paquetes, analizador de protocolos o analizador de redes, es un programa informático o hardware informático, como un dispositivo de captura de paquetes, que puede interceptar y registrar el tráfico que pasa por una red informática o parte de una red. La captura de paquetes es el proceso de interceptar y registrar el tráfico. A medida que los flujos de datos fluyen a través de la red, el analizador captura cada paquete y, si es necesario, descodifica los datos sin procesar del paquete, muestra los valores de varios campos en el paquete y analiza su contenido de acuerdo con el RFC apropiado u otras especificaciones..

Un analizador de paquetes utilizado para interceptar el tráfico en redes inalámbricas se conoce como analizador inalámbrico o analizador WiFi. Si bien un analizador de paquetes también puede denominarse analizador de redes o analizador de protocolos, estos términos también pueden tener otros significados. El analizador de protocolo puede ser técnicamente una clase más amplia y general que incluye analizadores/olfateadores de paquetes. Sin embargo, los términos se utilizan con frecuencia indistintamente.

Capacidades

En redes cableadas de medio compartido, como Ethernet, Token Ring y FDDI, según la estructura de la red (concentrador o conmutador), es posible capturar todo el tráfico en la red desde una sola máquina. En las redes modernas, el tráfico se puede capturar mediante un conmutador de red que utiliza la duplicación de puertos, que duplica todos los paquetes que pasan a través de los puertos designados del conmutador a otro puerto, si el conmutador admite la duplicación de puertos. Un tap de red es una solución aún más confiable que usar un puerto de monitoreo, ya que es menos probable que los taps descarten paquetes durante una carga de tráfico alta.

En las LAN inalámbricas, el tráfico se puede capturar en un canal a la vez, o mediante el uso de varios adaptadores, en varios canales simultáneamente.

En las LAN inalámbricas y de transmisión por cable, para capturar el tráfico de unidifusión entre otras máquinas, el adaptador de red que captura el tráfico debe estar en modo promiscuo. En las LAN inalámbricas, incluso si el adaptador está en modo promiscuo, los paquetes que no son para el conjunto de servicios para el que está configurado el adaptador generalmente se ignoran. Para ver esos paquetes, el adaptador debe estar en modo monitor. No se requieren disposiciones especiales para capturar el tráfico de multidifusión a un grupo de multidifusión que el analizador de paquetes ya está monitoreando o transmitir el tráfico.

Cuando se captura el tráfico, se registra todo el contenido de los paquetes o solo los encabezados. Grabar solo los encabezados reduce los requisitos de almacenamiento y evita algunos problemas legales de privacidad, pero a menudo proporciona información suficiente para diagnosticar problemas.

La información capturada se descodifica de un formato digital sin formato a un formato legible por humanos que permite a los ingenieros revisar la información intercambiada. Los analizadores de protocolo varían en su capacidad para mostrar y analizar datos.

Algunos analizadores de protocolos también pueden generar tráfico. Estos pueden actuar como probadores de protocolo. Dichos probadores generan tráfico de protocolo correcto para pruebas funcionales y también pueden tener la capacidad de introducir errores deliberadamente para probar la capacidad del dispositivo bajo prueba para manejar errores.

Los analizadores de protocolos también pueden estar basados en hardware, ya sea en formato de sonda o, como es cada vez más común, combinados con una matriz de discos. Estos dispositivos registran paquetes o encabezados de paquetes en una matriz de discos.

Usos

Los analizadores de paquetes pueden:

• Analizar problemas de red
• Detectar intentos de intrusión de red
• Detectar mal uso de la red por usuarios internos y externos
• Documenting regulatory compliance through logging all perimeter and endpoint traffic
• Obtener información para realizar una intrusión de red
• Identificar la recopilación y el intercambio de datos de software como los sistemas operativos (para fortalecer la privacidad, el control y la seguridad)
• Ayuda para reunir información para aislar sistemas explotados
• Monitor WAN uso de ancho de banda
• Supervisar el uso de la red (incluidos los usuarios y sistemas internos y externos)
• Supervisar datos en tránsito
• Monitor WAN and endpoint security status
• Reunir estadísticas de red e informar
• Identificar contenido sospechoso en tráfico de red
• Solución de problemas de rendimiento mediante la vigilancia de los datos de red de una aplicación
• Servir como fuente de datos primaria para la supervisión y gestión de redes diarias
• Spy on other network users and collect sensitive information such as login details or users cookies (depending on any content encryption methods that may be in use)
• Protocolos propietarios inversos de ingeniería utilizados en la red
• Debug cliente/servidor comunicaciones
• Implementaciones de protocolo de red de depuración
• Verificar adiciones, movimientos y cambios
• Verificar la eficacia del sistema de control interno (firewall, control de acceso, filtro Web, filtro de spam, proxy)

La captura de paquetes se puede utilizar para cumplir con una orden de una agencia de cumplimiento de la ley para interceptar todo el tráfico de red generado por un individuo. Los proveedores de servicios de Internet y los proveedores de VoIP en los Estados Unidos deben cumplir con las reglamentaciones de la Ley de asistencia en comunicaciones para el cumplimiento de la ley. Al utilizar la captura y el almacenamiento de paquetes, los operadores de telecomunicaciones pueden proporcionar el acceso seguro y separado legalmente requerido al tráfico de red objetivo y pueden usar el mismo dispositivo para fines de seguridad interna. La recopilación de datos de un sistema de soporte sin una orden es ilegal debido a las leyes sobre interceptación. Mediante el uso de cifrado de extremo a extremo, las comunicaciones pueden mantenerse confidenciales frente a los operadores de telecomunicaciones y las autoridades legales.

Analizadores de paquetes notables