Un dispositivo de captura de paquetes es un dispositivo independiente que realiza la captura de paquetes . Los dispositivos de captura de paquetes se pueden implementar en cualquier lugar de una red; sin embargo, lo más común es que se coloquen en las entradas a la red (es decir, las conexiones a Internet) y frente a equipos críticos, como servidores que contienen información confidencial.
En general, los dispositivos de captura de paquetes capturan y registran todos los paquetes de red en su totalidad (tanto el encabezado como la carga útil); sin embargo, algunos dispositivos pueden configurarse para capturar un subconjunto del tráfico de una red en función de filtros definibles por el usuario. Para muchas aplicaciones, especialmente la investigación forense de redes y la respuesta a incidentes, es fundamental realizar una captura completa de paquetes, aunque la captura de paquetes filtrados se puede utilizar en ocasiones para fines específicos y limitados de recopilación de información. [1]
Los datos de red que captura un dispositivo de captura de paquetes dependen de dónde y cómo se instala el dispositivo en una red. Hay dos opciones para implementar dispositivos de captura de paquetes en una red. Una opción es conectar el dispositivo al puerto SPAN ( duplicación de puertos ) en un conmutador de red o enrutador. Una segunda opción es conectar el dispositivo en línea, de modo que la actividad de la red a lo largo de una ruta de red atraviese el dispositivo (similar en configuración a una toma de red , pero la información es capturada y almacenada por el dispositivo de captura de paquetes en lugar de pasar a otro dispositivo) . [2]
Cuando se conecta a través de un puerto SPAN, el dispositivo de captura de paquetes puede recibir y registrar toda la actividad de Ethernet / IP para todos los puertos del conmutador o enrutador. [3]
Cuando se conectan en línea, los dispositivos de captura de paquetes capturan solo el tráfico de red que viaja entre dos puntos, es decir, el tráfico que pasa a través del cable al que está conectado el dispositivo de captura de paquetes. [2]
Hay dos enfoques generales para implementar dispositivos de captura de paquetes: centralizado y descentralizado.