2.1 Úvod do zachytávání a analýzy síťového provozu
Zachytávání síťového provozu (packet capture) je stěžejní dovedností při zjišťování informací (Intelligence Gathering). Poskytuje nevyvratitelná data o tom, co hostitelé, služby a obranné mechanismy ve skutečnosti provádějí „na drátě“.
V rámci PTES (Penetration Testing Execution Standard) spadá zachytávání provozu pod Intelligence Gathering. Pokrývá externí i interní footprinting, aktivní i pasivní fingerprinting a identifikaci obranných mechanismů.
V rámci OWASP WSTG (Web Security Testing Guide) pomáhá při sběru informací o serverech a frameworcích (hlavičky, TLS parametry), identifikaci vstupních bodů aplikace (přesměrování, cookies) a odhalování chování architektury (proxy servery, CDN, WAF).
Etika, rozsah a ochrana dat
Při zachytávání provozu může dojít k úniku citlivých osobních či firemních údajů, proto je nutné dodržovat přísná pravidla:
- Pravidla zapojení (Rules of Engagement - RoE): Omezte se pouze na povolená rozhraní, VLAN sítě, časová okna a cíle. Jakékoliv změny koordinujte s oddělením síťového provozu, abyste zabránili výpadkům.
- Minimalizace sběru (Minimize collection): Upřednostňujte capture filtry, krátkou délku zachyceného úseku (snaplen) a vyhýbejte se zbytečnému sběru aplikačních dat (payload) a osobních údajů.
- Bezpečná manipulace s důkazy: Zaznamenané soubory PCAP (Packet Capture) šifrujte v klidu, dokumentujte řetězec úschovy (chain of custody) a po odevzdání zprávy (v post-exploitační fázi) je bezpečně smažte. Vše musí být v souladu se směrnicemi a GDPR.
- Reprodukovatelnost: Pro každý experiment zaznamenávejte řetězce filtrů, místa zachytávání a přesné časové značky z důvěryhodného zdroje (NTP/PTP).
Nástroje pro zachytávání a analýzu
Pojmy Packet Sniffer a Packet Analyzer se často zaměňují a mnohé nástroje (např. Wireshark, tcpdump) kombinují obě funkce dohromady.