Packet Capture und -analyse erfolgreich umsetzen
Network Packet Capture (oft als PCAP bezeichnet) ist die grundlegende Praxis des Abfangens und Protokollierens der einzelnen Dateneinheiten (Pakete), die ein Computernetzwerk durchlaufen. Als ultimative Quelle der Wahrheit liefert die Aufzeichnung von Netzwerkpaketen detaillierte, unbestreitbare Beweise für alles, was in Ihrem Netzwerk passiert, und ist daher für die Sicherheit, Fehlerbehebung und Einhaltung von Vorschriften unerlässlich. Die Fähigkeit, den Netzwerkverkehr erfolgreich aufzuzeichnen und eine tiefgreifende Analyse von Netzwerkpaketen durchzuführen, ist das, was erfahrene Netzwerktechniker und Sicherheitsanalysten von anderen unterscheidet.
Was is ein IP-Paket?
Um die Paketerfassung zu meistern, müssen Sie zunächst ihr Kernelement verstehen – das IP-Paket, die Grundeinheit der über das Internet oder private Netzwerke übertragenen Daten. Jede E-Mail, jedes Video oder jede Datei wird an der Quelle in Pakete aufgeteilt und am Zielort wieder zusammengesetzt.
Ein vollständiges Paket besteht aus zwei Hauptbestandteilen:
Header: Er enthält wichtige Metadaten, darunter die IP-Adressen von Quelle und Ziel, Portnummern, Sequenznummern und Protokoll-informationen. Die Kontrollschicht, die das Routing ermöglicht – wie ein Postaufkleber auf einem Päckchen. Er teilt den Routern mit, woher das Paket kommt und wohin es geht. Die wichtigsten Felder sind:
- Quell-IP-Adresse: Die Adresse des Absenders.
- Ziel-IP-Adresse: Die Adresse des Empfängers.
- Protokollnummer: Kennzeichnet das Protokoll der Transportschicht (z. B. TCP=6, UDP=17).
- Time-to-Live (TTL): Begrenzt, wie viele Sprünge ein Paket machen kann, bevor es verworfen wird.
Nutzlast (Payload): Die eigentlichen Anwendungsdaten, die übertragen werden. Durch die Erfassung dieser Pakete erhalten Sie einen Einblick sowohl in den Kommunikationspartner (Header) als auch in den Inhalt (Payload), d. h. den eigentlichen Inhalt, z. B. Webdaten, Audio- oder Dateiinformationen. Bei der Paketanalyse verrät die Nutzlast, welche Daten übertragen oder abgerufen wurden.
Diagramm 1 : IP-Table
Was ist Network Packet Capture?
Im Kern ist Packet Capture der Prozess der passiven Erfassung einer Kopie des Datenstroms, der über eine Netzwerkverbindung fließt. Wenn Sie eine Webseite aufrufen, eine Datei herunterladen oder eine E-Mail senden, werden diese Daten in kleine, nummerierte Pakete aufgeteilt.
Der hochleistungsfähige CTD-Prozess (Packet Capture to Disk) besteht aus hyperkonvergenter Spezialhardware mit mehreren Komponenten, so dass kein Paket übersehen wird. Die Pakete werden von einer FPGA-basierten spezialisierten NIC (Network Interface Card) erfasst, die hier als SmartNIC bezeichnet wird. Die SmartNIC speichert die Pakete und leitet sie an die Verarbeitungslogik weiter, wo die Pakete verschiedenen Streams zugeordnet und Filter- und andere Kriterien angewendet werden. Die vollständigen Pakete mit den Kopfzeilen und der Nutzlast werden dann auf die rotierenden Festplatten oder Solid-State-Laufwerke (SSD) geschrieben und indiziert, um später gefunden zu werden.
Der Prozess erfordert eine hochperformante Technik, damit trotz des Geschwindigkeitsunterschieds zwischen den externen Netzwerkge-schwindigkeiten (z. B. 100 Gbit/s), der Erfassungsgeschwindigkeit und der Schreibgeschwindigkeit auf dem Speichermedium kein einziges Paket verloren geht.
Diagramm 2 : Capture-to-Disk Prozess
Diagramm 3 : Capture-to-Disk Flow
Wenn es an der Zeit ist, die relevanten Pakete im Falle einer Fehlersuche oder eines Sicherheitsvorfalls zu suchen und abzurufen, können Sie eine Abfrage an das System senden, um die richtigen Pakete aus Millionen von Paketen anhand vorgegebener Kriterien zu finden. Die indizierten Paketdaten werden durchsucht, und die relevanten Pakete können direkt aus dem Speicher heruntergeladen und angezeigt werden.
Zum Betrachten der Pakete können branchenübliche Tools wie Wireshark verwendet werden, und die Pakete können auf den lokalen Laptop heruntergeladen werden (was mit Leistungseinschränkungen verbunden ist und nicht empfohlen wird). Spezialisierte Erfassungsgeräte wie NEOX PacketFalcon und PacketGrizzly erfordern kein Herunterladen von Paketen und bieten eine unternehmens-taugliche Analysesoftware zur Auswertung der Paketdaten.
Diagramm 4 : Prozess der Paketsuche und -abfrage
Diagramm 5 : Ablauf der Paketsuche und -abfrage
Warum eine Paketerfassung und -Analyse durchführen?
Die Erfassung und Analyse von Netzwerkpaketen verwandelt die reaktive Brandbekämpfung in eine proaktive Problemlösung. Dies ist die einzige Möglichkeit, einen echten, forensischen Einblick in die Netzwerkaktivitäten zu erhalten. Packet Capture Tools fangen diese Pakete ab und protokollieren sie zur Analyse.
- Fehlersuche: Die Untersuchung der Kopfzeilen hilft bei der Bestätigung des Routings, der Erkennung von Latenzzeiten oder der Suche nach erneuten Übertragungen.
- Sicherheit: Die Untersuchung von Nutzdaten deckt Malware, Datenlecks oder Angreiferaktivitäten auf.
| Anwendungsfall | Beschreibung |
| Troubleshooting im Netzwerk | Diagnostizieren Sie intermittierende Leistungsprobleme, erkennen Sie Netzwerküberlastungen und Latenzprobleme, lokalisieren Sie Paketverluste und überprüfen Sie Quality of Service (QoS)-Einstellungen durch die Analyse von TCP/IP-Handshake-Timings und erneuten Übertragungen. |
| Cybersecurity & Forensik | Untersuchen Sie einen Sicherheitsvorfall. Protokolle sagen Ihnen nur, was passiert ist; Pakete zeigen Ihnen, wie es passiert ist. Analysten verwenden PCAP-Dateien, um einen Angriff zu rekonstruieren, die Lateralbewegung eines Angreifers zu verfolgen und die Datenexfiltration zu identifizieren. |
| Applikationsperformance | Stellen Sie fest, ob die Trägheit einer Anwendung auf das Netzwerk, den Server oder die Anwendung selbst zurückzuführen ist (die klassische Debatte „Netzwerk vs. Anwendung“). |
| Compliance & Audit | Nachweis der Einhaltung interner oder gesetzlicher Datenaufbewahrungsrichtlinien durch forensische Aufzeichnungen bestimmter Netzwerksegmente oder -perimeter. |
Methoden zur Erfassung des Netzwerkverkehrs
Um den Netzwerkverkehr effektiv zu erfassen, müssen Sie Ihre Erfassungslösung an einem strategischen Punkt des Netzwerks positionieren. Es gibt zwei Haupttechniken für den Zugriff und die Erfassung des Datenverkehrs auf Netzwerkverbindungen:
(a). Port-Mirroring (SPAN-Ports)
Die meisten Switches der Enterprise-Klasse verfügen über eine SPAN- oder Port-Spiegelungsfunktion (Switched Port Analyzer). Damit kann ein Administrator den Switch so konfigurieren, dass er den gesamten Datenverkehr von einem oder mehreren Quellports (oder einem VLAN) dupliziert und diese Kopie an einen dedizierten Überwachungsport sendet, der dann an ein Paketerfassungsgerät weitergeleitet werden kann.
- Vorteile: Kostengünstige und sofortige Lösung, nutzt vorhandene Netzwerkhardware. Kann für kurzfristige Ad-hoc-Erfassung,
-Analyse und -Fehlersuche bei niedrigen Netzwerkgeschwindig-keiten eingesetzt werden. - Nachteile: Kann unter hoher Last unzuverlässig sein, da der Switch den betrieblichen Datenverkehr gegenüber dem gespiegelten Datenverkehr priorisiert, was zu Paketverlusten und einer unvollständigen Erfassung führt und die Leistung des Switches für seine primäre Weiterleitungsfunktion gefährdet. Unsicher und eine Sicherheitsschwachstelle, da Angreifer den SPAN-Port nutzen können, um in den Hauptdatenstrom einzudringen und von dort aus in die Systeme einzudringen. Niemals eine skalierbare oder langfristige Lösung.
Diagramm 6: Paketerfassung mittels SPAN-Port
(b). Netzwerk-TAPs (Test Access Points)
Ein Netzwerk-TAP ist ein spezielles Hardware-Gerät, das direkt in eine Netzwerkkabelverbindung eingefügt wird (weitere Informationen über Netzwerk-TAPs im Detail). Er erstellt eine exakte, passive Kopie des Netzwerkdatenstroms und stellt sicher, dass jedes einzelne IP-Paket dupliziert wird, ohne dass es zu Latenzzeiten kommt, die Leistung der Netzwerkverbindung beeinträchtigt wird oder von den Angreifern entdeckt werden kann. Der hochleistungsfähige Datenstrom wird dann in das Packet-Capture-Gerät eingespeist.
- Vorteile: Liefert eine 100 %ige Kopie des Datenverkehrs (für die vollständige Paketerfassung) aus der Leitung und ist völlig ausfallsicher. Bietet höchste Leistung bei hohen Netzwerkgeschwindigkeiten, ohne dass Pakete verloren gehen, und ist eine langfristig skalierbare Lösung für die Überwachung. Verfügt selbst über keine MAC- oder IP-Adresse und kann daher nicht entdeckt oder gehackt werden. Sichere TAPs verfügen außerdem über eine Datendioden-Funktionalität, so dass ein Hacking in umgekehrter Richtung unmöglich ist, was sie zu einer extrem sicheren Lösung macht.
- Nachteile: Erfordert eine physische Installation und dedizierte Hardware im Vorfeld und benötigt möglicherweise eine Neuverkabelung und etwas Platz.
Diagramm 7: Paketerfassung mittels TAP
(c). Network Packet Broker
In großen Netzen ist die direkte Einspeisung von SPAN oder TAPs in die Paketerfassung möglicherweise nicht sehr effizient oder skalierbar. Ein Network Packet Broker (NPB) wird in der Regel für umfassendere Netzwerksichtbarkeit und Überwachungszwecke eingesetzt und dient Leistungs- und Sicherheitsüberwachungs-Tools vieler Arten als Vermittler (d. h. Datenbroker). Der NPB sammelt die Daten mehrerer TAPs an den strategischen Punkten des Netzwerks und leitet die ausgewählten Daten an die Paketerfassungsgeräte sowie an andere Tools und Ziele weiter.
- Vorteile: Eine hochgradig skalierbare und effiziente Möglichkeit, den richtigen Netzwerkverkehr zu konsolidieren und die volle Kontrolle darüber zu haben, wann ein Datenstrom zu einem Ziel ab- oder zugeschaltet wird oder nach mehreren Kriterien gefiltert werden soll. Erhöht die Vielseitigkeit des Erfassungsgeräts, da nun mehrere Quellen erfasst werden können, und erhöht die Speicherkapazität der Erfassung durch Filter- und Deduplizierungsfunktionen.
- Nachteile: Einmalige Ersteinrichtung und Verkabelung sowie einige Kosten für ein zusätzliches Gerät, aber die Vorteile überwiegen die Nachteile.
Diagramm 8 : Paketerfassung mittels Network Packet Broker
Capture-Tools: Software vs. Dedizierte Appliance
Die schiere Menge und Geschwindigkeit moderner Netzwerkdaten erfordert spezialisierte Paketerfassungs-Tools, um diese Last zu bewältigen und die Informationen zu verarbeiten. Software- oder CPU-basierte Systeme sind nicht in der Lage dies zu bewältigen, und Sie benötigen spezielle FPGA-basierte Systeme, um eine verlustfreie Erfassung gewährleisten zu können.
(a). Packet Capture Software
Für kleine, bedarfsorientierte Diagnosen kann in einigen Fällen eine auf einem Host-Rechner installierte Paketerfassungs-Software eingesetzt werden. Wireshark zum Beispiel ist das kostenlose und quelloffene Standardwerkzeug für die Paketerfassung (auch Protokollanalysator genannt).
Es ermöglicht Benutzern das Durchsuchen und Filtern erfasster Daten, die in PCAP-Dateien gespeichert sind. Es kann in Situationen funktionieren, in denen Sie versuchen, ein lokales WiFi-Problem oder ein Problem mit der Konnektivität einer entfernten Außenstelle mit weniger als 10 Gbps zu beheben.
Da jedoch Pakete auf den lokalen Host-Rechner heruntergeladen werden müssen, was Speicherplatz verbraucht und Sicherheits- und Datenschutzschwachstellen mit sich bringt, und da es nicht in der Lage ist, hohe Geschwindigkeiten wie 100 Gbps zu bewältigen, ist es für eine ernsthafte Netzwerküberwachung in Unternehmen oder bei Dienstanbietern ungeeignet.
Es gibt auch virtualisierte Versionen von Packet-Capture-Anwendungen, die für virtuelle Umgebungen vor Ort (VM) und für die Cloud konzipiert sind. Diese virtuellen Anwendungen nutzen die Technologie und funktionieren wie die Hardware-Anwendung (siehe unten), jedoch in kleinerem Maßstab und abhängig von den in der Cloud zugewiesenen Ressourcen.
Diagramm 9 : Packet Capture Software
(b). Packet Capture Hardware
Für die kontinuierliche Hochgeschwindigkeits-Paket-Erfassung und -Analyse im Unternehmensmaßstab ist eine spezielle Paket-Capture-Appliance erforderlich. Dabei handelt es sich um hochleistungs-fähige, hyperkonvergente Systeme, die speziell dafür entwickelt wurden, große Mengen an Netzwerkverkehr zu verarbeiten, ohne ein einziges Paket zu verlieren (Zero-Loss-Capture).
Diese spezialisierten Geräte, die manchmal auch einfach als Paketanalysatoren bezeichnet werden, werden an kritischen Netzwerkpunkten (wie dem Internet-Perimeter oder dem Kern des Rechenzentrums) eingesetzt und bieten Erfassungsraten von 10, 25, 40 oder 100 Gbps mit massiven Paketspeicherkapazitäten, die von Terabytes bis zu Petabytes reichen. Der integrierte oder externe erweiterbare Speicher basiert entweder auf Spinning-Disks oder neueren Solid-State-Speichern (SSD).
Intelligente Funktionen, wie z. B. die Filterung, ermöglichen es Ihnen, nur Metadaten oder spezifischen Anwendungsverkehr zu erfassen, um den teuren Festplattenplatz zu schonen.
NEOX PacketFalcon und PacketGrizzly sind solche Packet-Capture-Lösungen, die bis zu 100 Gbit/s an kontinuierlicher vollständiger Paketerfassung und bis zu 8 Petabyte an Speicherkapazität bieten.
Diagramm 10 : Packet Capture Hardware
Netzwerkanalyse und -forensik
Die Paketerfassung ist nur die Hälfte der Arbeit. Schließlich möchte ein Netzwerk- oder Sicherheitstechniker oder -analytiker die Paketdaten und die daraus extrahierten Metadaten für die Fehlerbehebung bei Netzwerkproblemen oder für die Untersuchung eines Sicherheitsvorfalls, z. B. einer Sicherheitsverletzung, nutzen. Aus diesen Gründen werden die PCAP-Daten fast immer mit einer Analysesoftware verwendet, die die Daten lesen, die Informationen daraus extrahieren und korrelieren und sie in einer leicht zu verarbeitenden grafischen Form visualisieren kann.
Wireshark ist eine Open-Source-Software, die häufig für die Analyse von Paketdaten verwendet wird. Aber wie viele Open-Source-Software hat auch sie ihre Grenzen. Die Paketerfassungsprodukte von NEOX unterstützen Wireshark, werden aber auch mit ihrer eigenen, für Unternehmen geeigneten Analysesoftware ausgeliefert. Sie ist wesentlich leistungsfähiger und liefert wichtige Metriken wie Latenz, Top-Talker, Protokollanalyse und zusätzliche Erkenntnisse für eine schnellere Fehlerbehebung. Daher wird der Wert der Paketaufzeichnungslösung mit einer solchen Analysesoftware voll ausgeschöpft, nicht nur durch den Besitz der Hardware.
Diagramm 11 : Netzwerkanalyse-Beispiel
FAQs
Was ist der Hauptzweck der Erfassung und Analyse von Netzwerkpaketen?
Das Hauptziel besteht darin, einen detaillierten Einblick in die Netzwerkaktivitäten zu erhalten. IT-Teams können so die tatsächlichen Daten – die Header und Payloads – jeder Kommunikation einsehen. Dies ist entscheidend für:
- Fehlerbehebung: Identifizierung der Ursache von Problemen wie Latenz, Paketverlust oder Netzwerküberlastung.
- Sicherheit: Durchführung forensischer Analysen, um zu verstehen, wie ein Eindringen stattgefunden hat, auf welche Daten zugegriffen wurde und wie groß der Umfang der Sicherheitsverletzung ist.
Wie kann ich den Datenverkehr auf Netzwerkverbindungen erfassen, ohne die Leistung zu beeinträchtigen?
Die zuverlässigste Methode ist die Verwendung eines dedizierten Netzwerk-TAPs (Test Access Point). Im Gegensatz zu SPAN-/Mirror-Ports an einem Switch (die Pakete verlieren können) ist ein TAP ein passives Gerät, das in Reihe geschaltet wird und eine garantierte, exakte Kopie des Datenstroms erstellt, ohne den Live-Produktionsdatenverkehr zu beeinträchtigen. So wird sichergestellt, dass Sie den Netzwerkverkehr mit 100 %iger Genauigkeit aufzeichnen.
Ist eine vollständige Paketerfassung immer erforderlich?
Die vollständige Paketerfassung (Erfassung sowohl des Headers als auch der Nutzdaten) liefert die „ultimative Wahrheit“, die für eine gründliche forensische Analyse erforderlich ist. Angesichts des enormen Speicherbedarfs entscheiden sich einige Unternehmen jedoch für Smart Packet Capture oder gefilterte Erfassung. Bei diesem Ansatz wird ein Netzwerk-Paketerfassungsgerät verwendet, um selektiv nur den für ein bekanntes Problem relevanten Datenverkehr (z. B. Datenverkehr zu einer bestimmten IP-Adresse oder einem bestimmten Protokoll) aufzuzeichnen oder nur die Paket-Header zu erfassen, was für die Leistungsüberwachung und grundlegende Fehlerbehebung oft ausreichend ist.
Welche gängigen Protokolle werden von Paketanalysatoren dekodiert?
Paketanalysatoren sind dafür ausgelegt, Hunderte von Protokollen über alle Schichten des OSI-Modells hinweg zu entschlüsseln. Zu den am häufigsten analysierten Protokollen gehören:
- • Layer 2: Ethernet, ARP
- • Layer 3: IP (IPv4, IPv6)
- • Layer 4: TCP, UDP, ICMP
- • Layer 7 (Applikation): HTTP/HTTPS, DNS, SMTP, FTP, und proprietäre Anwendungsprotokolle.