La capture de paquets est tout simplement le processus d'épingler les paquets de données qui voyagent à travers un réseau informatique. Avec une capture de paquets normaux, seules les données auxiliaires contenues dans l'en-tête de paquet, comme l'information d'adresse ou le protocole Internet (IP) du format du paquet, sont recueillies. Dans le cas de la capture des paquets en profondeur (DPC), le paquet entier, à la fois des informations d'en-tête ainsi que la charge utile de données réelle, est acquis. Le processus est aussi souvent désigné comme le reniflage de paquets.
Quelle que soit la méthode de capture de paquets, le processus peut prendre place sur l'une des couches de l'interconnexion des systèmes modèle ouvert (OSI) au-dessus de la couche un, la couche physique, depuis la couche physique fonctionne uniquement avec des morceaux sous forme de signaux électriques. La capture de paquets ne se produit pas jusqu'à ce que ces flux de uns et de zéros soient reconvertis en paquets de données qui peuvent ensuite être réunis. Plus de n'importe quelle interface réseau donné, la collecte ne peut se produire pour les paquets destinés à l'adresse appartenant à cette interface sauf si l'interface est configurée pour ce qui est connu comme mode espion. Une interface réseau agissant promiscuité est capable de capturer non seulement ses propres paquets, mais ceux qui sont destinés pour les autres aussi.
Quand un administrateur réseau désire acquérir les paquets qui traversent une interface réseau, il a la possibilité d'une collection complète ou une collection filtrée. Une collection complète n'a pas de frontières, de sorte que toute et tous les paquets qui traversent l'interface sont saisis. Lors du filtrage de paquets, cependant, ils sont évalués comme ils traversent l'interface et seuls certains paquets qui répondent à des critères spécifiques sont collectées. Cela permet à l'administrateur de stocker uniquement les types de paquets qu'il est intéressé ou paquets dirigés à certaines adresses. Collections filtrées aussi préserver les ressources matérielles et peuvent être utilisés pour arrondir les paquets qui peuvent être nécessaires plus tard pour prouver la culpabilité.
Il y a beaucoup de buts derrière la capture de paquets, qui tous tournent autour de la notion d'inspection approfondie des paquets (DPI). Lorsque les paquets sont acquis, ils sont inspectés et analysés pour de nombreuses raisons, dont la plupart impliquent la détection des intrusions, sécurité des données et l'intégrité ou la performance du réseau, même si certaines fins néfastes de capture de paquets existent. En conséquence, de fortes inquiétudes quant à la confidentialité peuvent survenir lorsque l'on considère la capture des paquets en profondeur et d'inspection.
Lorsque le processus d'analyse doit avoir lieu, il peut arriver immédiatement, car les paquets sont réellement se déplaçant à travers l'interface de sorte que la capture de paquets et de logiciels de contrôle peuvent prendre des décisions. Alternativement, ils peuvent être stockés sur le disque dur d'un ordinateur indéfiniment. Dans le cas de l'analyse en temps réel, les paquets ne peuvent être évalués par rapport à des problèmes de sécurité connus ou des préoccupations, alors que lorsque recueillis dans le stockage, ils peuvent être ensuite analysés par les données médico-légales spécialistes pour aider à déterminer quand et comment une brèche de sécurité s'est produite.
Il existe de nombreux programmes de capture de paquets disponibles. Certains fabricants de matériel de réseau comprennent la capacité de leurs appareils, tels que les fonctions intégrées de capture de paquets dans le Internetwork Operating System (IOS), à condition que le matériel Cisco Systems. Les renifleurs de paquets existent sous de nombreuses formes, cependant, de la collecte simple à une analyse plus détaillée. La plupart des renifleurs de paquets les plus populaires sont les projets de logiciels open source tels que Wireshark et WinPcap, qui non seulement capturer des paquets, mais aussi gérer des tâches d'inspection et d'analyse paquets ainsi. Ils sont fréquemment mis à jour par une communauté diversifiée se tenir au courant des problèmes de sécurité les plus récentes.