Captura de pachete este pur și simplu procesul de captare a pachetelor de date care călătoresc printr-o rețea de calculatoare. Cu o captură normală de pachet, sunt colectate numai datele auxiliare conținute în antetul unui pachet, cum ar fi informațiile despre adresă sau formatul Internet Protocol (IP) al pachetului. În cazul capturii profunde a pachetelor (DPC), întregul pachet, atât informațiile din antet, cât și încărcarea efectivă a datelor, este achiziționat. Procesul este adesea denumit și sniffing de pachete.
Indiferent de metoda de captare a pachetelor, procesul poate avea loc pe oricare dintre straturile modelului de interconectare a sistemelor deschise (OSI) deasupra stratului unu, stratul fizic, deoarece stratul fizic funcționează doar cu biți sub formă de semnale electrice. Captarea pachetelor nu are loc până când acele fluxuri de unu și zero sunt convertite înapoi în pachete de date care pot fi apoi adunate. Pe orice interfață de rețea dată, colectarea poate avea loc numai pentru pachetele destinate adresei aparținând acelei interfețe, cu excepția cazului în care interfața este configurată pentru ceea ce este cunoscut sub numele de mod promiscuu. O interfață de rețea care acționează promiscuu este capabilă să capteze nu numai propriile pachete, ci și pe cele destinate altora.
Când un administrator de rețea dorește să achiziționeze pachetele care vin printr-o interfață de rețea, el are opțiunea unei colecții complete sau a unei colecții filtrate. O colecție completă nu are limite, așa că toate pachetele care traversează interfața sunt capturate. La filtrarea pachetelor, totuși, acestea sunt evaluate pe măsură ce traversează interfața și sunt colectate numai anumite pachete care îndeplinesc anumite criterii. Acest lucru permite administratorului să stocheze doar tipurile de pachete de care este interesat sau pachetele care se îndreaptă către anumite adrese. Colecțiile filtrate păstrează, de asemenea, resursele hardware și pot fi folosite pentru a rotunji pachetele care ar putea fi necesare mai târziu pentru a dovedi culpabilitatea.
Există multe scopuri în spatele captării pachetelor, toate acestea gravitând în jurul noțiunii de inspecție profundă a pachetelor (DPI). Pe măsură ce pachetele sunt achiziționate, acestea sunt inspectate și analizate din mai multe motive, dintre care majoritatea implică detectarea intruziunilor, securitatea și integritatea datelor sau performanța rețelei, deși există unele scopuri nefaste ale captării pachetelor. Ca rezultat, pot apărea preocupări puternice cu privire la confidențialitate atunci când se ia în considerare captarea și inspecția profundă a pachetelor.
Atunci când procesul de analiză trebuie să aibă loc, se poate întâmpla imediat, deoarece pachetele se deplasează de fapt prin interfață, astfel încât software-ul de captare și inspecție a pachetelor să poată lua decizii. Alternativ, acestea pot fi stocate pe hard diskul unui computer pe termen nelimitat. În cazul analizei în timp real, pachetele pot fi evaluate doar în raport cu problemele sau preocupările de securitate cunoscute, în timp ce atunci când sunt colectate în stocare, ele pot fi analizate ulterior de specialiștii în criminalistica datelor pentru a ajuta la determinarea când sau cum a avut loc o încălcare a securității.
Există numeroase programe de captare a pachetelor disponibile. Unii producători de hardware de rețea includ capacitatea în dispozitivele lor, cum ar fi caracteristicile de captare a pachetelor încorporate în sistemul de operare Internetwork (IOS), furnizate pe hardware-ul Cisco Systems®. Sniffer-urile de pachete există în multe forme, totuși, de la simpla colectare la analize mai detaliate. Multe dintre cele mai populare sniffer-uri de pachete sunt proiecte software open source, cum ar fi Wireshark și WinPcap, care nu numai că captează pachete, dar se ocupă și de sarcinile de inspecție și analiză a pachetelor. Acestea sunt actualizate frecvent de o comunitate diversă pentru a fi la curent cu cele mai recente probleme de securitate.