La cattura dei pacchetti è semplicemente il processo di cattura dei pacchetti di dati che viaggiano attraverso una rete di computer.Con una normale acquisizione di pacchetti, vengono raccolti solo i dati ausiliari contenuti in un'intestazione di pacchetti, come le informazioni sull'indirizzo o il formato IP (Internet Protocol) del pacchetto.Nel caso di Deep Packet Capture (DPC), viene acquisito l'intero pacchetto, sia le informazioni sull'intestazione che il carico utile effettivo dei dati.Il processo viene spesso definito anche come annusamento dei pacchetti.

Qualunque metodo di acquisizione dei pacchetti, il processo può avvenire su uno qualsiasi degli strati del modello OPI (Open Systems Interconnect) sopra il livello uno, lo strato fisico, dal livello fisicoFunziona solo con bit sotto forma di segnali elettrici.L'acquisizione dei pacchetti non si verifica fino a quando quei flussi di quelli e zeri vengono convertiti in pacchetti di dati che possono quindi essere raccolti.In ogni interfaccia di rete, la raccolta può avvenire solo per i pacchetti destinati all'indirizzo appartenente a tale interfaccia a meno che l'interfaccia non sia configurata per ciò che è noto come modalità promiscua.Un'interfaccia di rete che agisce promiscuamente è in grado di catturare non solo i propri pacchetti, ma anche quelli destinati agli altri.Collezione filtrata.Una collezione completa non ha confini, quindi tutti i pacchetti che attraversano l'interfaccia vengono afferrati.Quando si filtrano i pacchetti, tuttavia, vengono valutati mentre attraversano l'interfaccia e vengono raccolti solo alcuni pacchetti che soddisfano criteri specifici.Ciò consente all'amministratore di archiviare solo i tipi di pacchetti che sono interessati o i pacchetti che si dirigono verso determinati indirizzi.Le raccolte filtrate conservano anche le risorse hardware e possono essere utilizzate per arrotondare i pacchetti che potrebbero essere necessari in seguito per dimostrare la colpevolezza.

Ci sono molti scopi dietro la cattura dei pacchetti, che ruotano tutti attorno alla nozione di ispezione dei pacchetti profondi (DPI).Man mano che i pacchetti vengono acquisiti, vengono ispezionati e analizzati per molte ragioni, la maggior parte delle quali comporta il rilevamento di intrusioni, la sicurezza dei dati e l'integrità o le prestazioni della rete, sebbene esistano alcuni scopi nefasti della cattura dei pacchetti.Di conseguenza, possono sorgere forti preoccupazioni per la privacy quando si considerano una profonda cattura e ispezione dei pacchetti.

Quando il processo di analisi deve avvenire, può avvenire immediatamente, poiché i pacchetti si muovono effettivamente attraverso l'interfaccia in modo che il software di acquisizione e ispezione dei pacchetti possa prendere decisioni.In alternativa, possono essere archiviati su un disco rigido di computer indefinitamente.Nel caso dell'analisi in tempo reale, i pacchetti possono essere valutati solo contro problemi di sicurezza noti o preoccupazioni, mentre quando raccolti in memoria, possono essere analizzati in seguito da specialisti della forense di dati per aiutare a determinare quando o come si è verificata una violazione della sicurezza.

Sono disponibili numerosi programmi di acquisizione dei pacchetti.Alcuni produttori di hardware di rete includono la capacità nei loro dispositivi, come le funzionalità di acquisizione dei pacchetti integrati nel sistema operativo Internet (iOS), forniti su Cisco Systems hardware.Gli sniffer di pacchetti esistono in molte forme, tuttavia, dalla semplice raccolta all'analisi più dettagliata.Molti degli sniffer di pacchetti più popolari sono progetti software open source come Wireshark e WinPcap, che non solo acquisiscono pacchetti, ma gestiscono anche le attività di ispezione e analisi dei pacchetti.Sono aggiornati frequentemente da una comunità diversificata per tenersi al passo con i problemi di sicurezza più recenti.