La captura de paquetes es simplemente el proceso de capturar los paquetes de datos que viajan a través de una red informática. Con una captura de paquetes normal, solo se recopilan los datos auxiliares contenidos en el encabezado de un paquete, como la información de la dirección o el formato del Protocolo de Internet (IP) del paquete. En el caso de la captura profunda de paquetes (DPC), se adquiere todo el paquete, tanto la información del encabezado como la carga útil de datos real. El proceso también se conoce a menudo como rastreo de paquetes.

Cualquiera que sea el método de captura de paquetes, el proceso puede tener lugar en cualquiera de las capas del modelo de interconexión de sistemas abiertos (OSI) sobre la capa uno, la capa física, ya que la capa física solo funciona con bits en forma de señales eléctricas. La captura de paquetes no ocurre hasta que esos flujos de unos y ceros se vuelven a convertir en paquetes de datos que luego se pueden recopilar. En cualquier interfaz de red dada, la recopilación solo puede ocurrir para paquetes destinados a la dirección que pertenece a esa interfaz a menos que la interfaz esté configurada para lo que se conoce como modo promiscuo. Una interfaz de red que actúa de manera promiscua es capaz de capturar no solo sus propios paquetes, sino también aquellos destinados a otros.

Cuando un administrador de red desea adquirir los paquetes que llegan a través de una interfaz de red, tiene la opción de una colección completa o una colección filtrada. Una colección completa no tiene límites, por lo que se capturan todos y cada uno de los paquetes que cruzan la interfaz. Sin embargo, al filtrar paquetes, se evalúan a medida que atraviesan la interfaz y solo se recopilan ciertos paquetes que cumplen con criterios específicos. Esto le permite al administrador almacenar solo los tipos de paquetes que le interesan o los paquetes que se dirigen a ciertas direcciones. Las colecciones filtradas también conservan los recursos de hardware y se pueden usar para redondear paquetes que pueden ser necesarios más tarde para demostrar la culpabilidad.

Hay muchos propósitos detrás de la captura de paquetes, todos los cuales giran en torno a la noción de inspección profunda de paquetes (DPI). A medida que se adquieren los paquetes, se inspeccionan y analizan por muchas razones, la mayoría de las cuales implican detección de intrusiones, seguridad e integridad de datos o rendimiento de la red, aunque existen algunos propósitos nefastos de captura de paquetes. Como resultado, pueden surgir fuertes preocupaciones sobre la privacidad al considerar la captura e inspección profunda de paquetes.

Cuando el proceso de análisis debe llevarse a cabo, puede ocurrir de inmediato, ya que los paquetes se mueven realmente a través de la interfaz para que el software de captura e inspección de paquetes pueda tomar decisiones. Alternativamente, se pueden almacenar en el disco duro de una computadora de forma indefinida. En el caso del análisis en tiempo real, los paquetes solo se pueden evaluar en relación con problemas o preocupaciones de seguridad conocidos, mientras que cuando se almacenan en el almacenamiento, pueden ser analizados más tarde por especialistas forenses de datos para ayudar a determinar cuándo o cómo ocurrió una violación de seguridad.

Existen numerosos programas de captura de paquetes disponibles. Algunos fabricantes de hardware de red incluyen la capacidad en sus dispositivos, como las funciones integradas de captura de paquetes en el sistema operativo Internetwork (IOS), que se proporciona en el hardware de Cisco Systems®. Sin embargo, los rastreadores de paquetes existen en muchas formas, desde una simple recolección hasta un análisis más detallado. Muchos de los rastreadores de paquetes más populares son proyectos de software de código abierto como Wireshark y WinPcap, que no solo capturan paquetes, sino que también manejan tareas de inspección y análisis de paquetes. Una comunidad diversa los actualiza con frecuencia para mantenerse al tanto de los problemas de seguridad más recientes.