La detección, rastreo o sniffing de paquetes es la práctica de obtener, recopilar y registrar algunos o todos los paquetes que pasan a través de una red de ordenadores, independientemente de cómo se enruten dichos paquetes. De esta manera, se puede almacenar cada paquete (o subconjunto definido de paquetes) para un análisis posterior. Todo administrador de la red puede usar los datos recopilados para una amplia variedad de propósitos, como la supervisión del ancho de banda y el tráfico.
Un rastreador de paquetes, también llamado a veces analizador de paquetes, se compone de dos partes principales. Primero, un adaptador de red que conecta el rastreador a la red existente. Segundo, un software que proporciona una forma de registrar, ver o analizar los datos recopilados por el dispositivo.
Una red es una colección de diferentes tipos de nodos, como ordenadores personales, servidores y hardware de red, todo conectado. Mediante la conexión de red se transfiere información entre estos dispositivos. Las conexiones pueden ser físicas (cableadas) o inalámbricas (con señales de radio). Las redes también pueden estar conformadas por una combinación de ambos tipos.
A medida que los nodos envían datos a través de la red, cada transmisión se divide en partes más pequeñas, llamadas paquetes. La longitud y la forma definidas permiten verificar que los paquetes de datos estén completos y sean útiles. Debido a que la infraestructura de una red es común a muchos nodos, los paquetes destinados a comunicar dos extremos atravesarán muchos otros nodos diferentes de camino a su destino. Para garantizar que no se confundan los datos, a cada paquete se le asigna una dirección que representa el destino previsto de dicho paquete.
Cada adaptador de red y dispositivo conectado examina la dirección de los paquetes para determinar a qué nodo están destinados. En condiciones normales de funcionamiento, si un nodo ve que un paquete no está dirigido a él, lo ignora.
Con la detección de paquetes, lo que se hace es lo contrario: recopilar todos o algunos de los paquetes, independientemente de cómo se dirijan.
Hay dos tipos principales de rastreadores de paquetes:
- Rastreadores de paquetes por hardware
Un rastreador de paquetes hardware está diseñado para conectarse a una red y examinarla. Un rastreador de paquetes hardware es particularmente útil cuando se intenta ver el tráfico de un segmento de red específico. Al conectarse directamente a la red física en la ubicación adecuada, el rastreador hardware puede garantizar que no se pierdan paquetes debido al filtrado, al enrutamiento o a otras causas, ya sean deliberadas o involuntarias. Un rastreador de paquetes hardware almacena los paquetes recolectados o los envía a un colector que registra la información obtenida por el rastreador de paquetes hardware para su posterior análisis. - Rastreadores de paquetes por software
Actualmente, la mayoría de los rastreadores de paquetes son de tipo software. Aunque cualquier interfaz conectada a una red puede recibir cada bit del tráfico de red que fluye por ella, la mayoría están configuradas para no hacerlo. Un rastreador de paquetes por software cambia esta configuración para que la interfaz de red reciba todo el tráfico de la red por la pila. Para la mayoría de los adaptadores de red, esta configuración se conoce como modo promiscuo. Una vez en modo promiscuo, la funcionalidad de un rastreador de paquetes consiste en clasificar, reensamblar y almacenar todos los paquetes de software que pasen por la interfaz, independientemente de sus direcciones de destino. Los rastreadores de paquetes software recopilan todo el tráfico que fluye a través de la interfaz de red física. Luego, ese tráfico se almacena y utiliza de acuerdo con los requisitos del proceso de detección de paquetes del software correspondiente.
Capturar los datos de toda la red puede requerir múltiples rastreadores de paquetes. Puesto que cada recopilador solo puede recopilar el tráfico de red que recibe su propio adaptador de red, es posible que no pueda ver el tráfico que se produce en el otro lado de los routers o switches. En las redes inalámbricas, la mayoría de los adaptadores solo son capaces de conectarse a un canal al mismo tiempo. Para capturar datos en múltiples segmentos de red (o múltiples canales inalámbricos), se necesita un rastreador de paquetes en cada segmento de la misma. La mayoría de las soluciones de monitorización de red proporcionan la detección de paquetes como una de las funciones de sus agentes de supervisión.
La detección de paquetes permite supervisar el tráfico de su red y le brinda información valiosa sobre su infraestructura y su rendimiento.
¿Cuánto tráfico pasa a través de su red? ¿Qué aplicaciones utilizan la mayoría del ancho de banda? ¡Descúbralo con la herramienta profesional de supervisión de red PRTG!
- Versión completa de PRTG de 30 días
- Después de 30 días, se convierte en versión gratuita
- Si le convence, puede adquirir la versión de pago
La detección de paquetes recopila el paquete completo de cada transmisión de red. Los paquetes que no estén cifrados se pueden volver a montar y leer en su totalidad. Por ejemplo, los paquetes interceptados de un usuario que accede a un sitio web incluirían el HTML y el CSS de las páginas web que visita, pero lo que es más importante: los usuarios que inician sesión en recursos de la red a través de transmisiones no cifradas exponen su nombre de usuario y contraseña como un texto sin formato que puede verse en los paquetes capturados.
La detección de paquetes tiene muchos usos prácticos. Normalmente, la detección de paquetes se utiliza para solucionar problemas de red. Los paquetes rastreados en una red en la que se supone que no deberían estar pueden sugerir un enrutamiento incorrecto a través de un router, switch o hub. Los paquetes marcados para puertos que no coinciden con su protocolo también pueden sugerir una mala configuración de uno o más nodos. Además, se puede analizar el tráfico y las respuestas recibidas para cada una de las solicitudes. ¿El nodo consulta el servidor DHCP correcto? ¿La solicitud de DNS correcta se enruta a la ubicación adecuada? ¿Se encripta el tráfico con SSL o HTTPS cuando debería, o se envían respuestas sin cifrar? ¿La ruta de enrutamiento adoptada por el paquete es la más eficiente hacia su destino final?
También se pueden analizar los paquetes para ver si una aplicación específica está usando demasiado ancho de banda o si la autenticación requiere numerosas llamadas de ida y vuelta. Según la información proporcionada, se puede mejorar las comunicaciones o solucionar problemas de las aplicaciones para incrementar el rendimiento del software.
Puede utilizar la detección de paquetes para controlar las tendencias de consumo en una red. El análisis de los paquetes recopilados puede mostrar que cierta aplicación interna, transmisiones de vídeo, etc. utilizan una gran cantidad de ancho de banda. Además, una disminución en el tráfico puede sugerir que se utilizan menos recursos específicos.
La detección de paquetes puede ser útil para incrementar la seguridad de la red. Por ejemplo: si supervisa el tráfico en busca de nombres de usuario y contraseñas de texto simple, podría detectar posibles problemas de seguridad antes que cualquier hacker. Además, la supervisión del tráfico remoto puede ayudar a garantizar que todo el tráfico esté correctamente cifrado y no se envíe a internet sin su encriptación correspondiente.
Los mensajes dentro de MQTT se publican como temas. Los temas son estructuras en una jerarquía que utilizan el carácter de barra (/) como delimitador. Esta estructura se asemeja a la de un árbol de directorios en un sistema de archivos de ordenador. Una estructura como sensores/OilandGas/Presión/ permite a un suscriptor especificar que solo se deben enviar datos de clientes que publican al tema Presión o, para una vista más amplia, tal vez los datos de todos clientes que publican a cualquier tema de sensor/OilandGas. Los temas no se crean explícitamente en MQTT. Si un agente recibe datos publicados sobre un tema que actualmente no existe, simplemente se crea dicho tema y los clientes pueden suscribirse al mismo.