Paket yakalama, oldukça basit bir şekilde, bir bilgisayar ağı üzerinden seyahat eden veri paketlerini geri çekme işlemidir. Normal paket yakalama ile, yalnızca paketin adres bilgileri veya paketin İnternet Protokolü (IP) formatı gibi paket başlığında bulunan yardımcı veriler toplanır. Derin paket yakalama (DPC) durumunda, hem paket bilgisi hem de gerçek veri yükü olmak üzere paketin tamamı elde edilir. İşlem ayrıca sıklıkla paket koklama olarak adlandırılır.
Hangi paket yakalama yöntemi olursa olsun, işlem, birinci katın üzerindeki açık sistemler arası bağlantı (OSI) modelinin herhangi bir katında, fiziksel katmanda gerçekleşebilir, çünkü fiziksel katman sadece elektrik sinyalleri şeklinde bitlerle çalışır. Paket yakalama, olanlar ve sıfır akışları, daha sonra toplanabilecek veri paketlerine dönüştürülene kadar gerçekleşmez. Herhangi bir ağ arabiriminde, toplama yalnızca arabirim modu olarak bilinenler için yapılandırılmadıkça, bu arabirime ait adrese yönelik paketler için gerçekleşebilir. Şaşırtıcı bir şekilde hareket eden bir ağ arayüzü sadece kendi paketlerini değil, aynı zamanda başkalarına yönelik olanları da yakalayabilir.
Bir ağ yöneticisi bir ağ arayüzünden gelen paketleri edinmek istediğinde, tam bir koleksiyon veya filtrelenmiş bir koleksiyon seçeneğine sahiptir. Komple bir koleksiyonun sınırı yoktur, bu nedenle arayüzü geçen tüm paketler tutulur. Bununla birlikte, paketleri filtrelerken, arayüzden geçerken değerlendirilirler ve sadece belirli kriterleri karşılayan belirli paketler toplanır. Bu, yöneticinin yalnızca ilgilendiği paket türlerini veya belirli adreslere giden paketleri saklamasını sağlar. Filtrelenmiş koleksiyonlar aynı zamanda donanım kaynaklarını da korur ve daha sonradan suçlu olduğunu kanıtlamak için gerekli olabilecek paketleri toplamak için kullanılabilir.
Paket yakalamanın ardında, tümü derin paket incelemesi (DPI) kavramı etrafında dönen birçok amaç vardır. Paketler elde edilirken, çoğu zaman izinsiz giriş tespitini, veri güvenliğini ve bütünlüğünü veya ağ performansını gerektiren birçok nedenden dolayı incelenir ve analiz edilir, ancak paket yakalamanın bazı gereksiz amaçları vardır. Sonuç olarak, derin paket yakalama ve inceleme göz önüne alındığında gizlilik konusunda güçlü endişeler ortaya çıkabilir.
Analiz süreci gerçekleşmesi gerektiğinde, paketler aslında arabirim boyunca hareket ettiğinden, paket yakalama ve inceleme yazılımının karar verebilmesi için bu hemen gerçekleşebilir. Alternatif olarak, bir bilgisayarın sabit diskinde süresiz olarak saklanabilirler. Gerçek zamanlı analiz durumunda, paketler yalnızca bilinen güvenlik sorunlarına veya endişelerine göre değerlendirilebilir, oysa depoda toplandıklarında, güvenlik ihlalinin ne zaman ve nasıl meydana geldiğini belirlemeye yardımcı olmak için veri adli tıp uzmanları tarafından daha sonra analiz edilebilir.
Çok sayıda paket yakalama programı mevcut. Bazı ağ donanımı üreticileri, Cisco Systems® donanımında sağlanan, Internetwork Operating System'deki (IOS) yerleşik paket yakalama özellikleri gibi aygıtlarında yetenek içerir. Ancak, paket toplayıcılar, basit koleksiyondan daha detaylı analize kadar birçok formda bulunur. En popüler paket koklayıcıların çoğu Wireshark ve WinPcap gibi açık kaynaklı yazılım projeleridir; bunlar sadece paketleri ele geçirmez, aynı zamanda paket inceleme ve analiz görevlerini de yerine getirir. En son güvenlik sorunlarından haberdar olmak için çeşitli topluluklar tarafından sık sık güncellenir.
