Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Packet capture

Technologie

Bestand met een exacte kopie van gegevens die door een netwerk zijn gegaan.

Packet capture, ook wel packet sniffing of pcap genoemd, is het proces van het onderscheppen en vastleggen van netwerkpakketten die over een netwerk worden verzonden. Elk stukje data dat over een netwerk reist, wordt opgedeeld in pakketten die header-informatie bevatten zoals bron- en bestemmingsadres, protocol en payload. Door deze pakketten te capturen en te analyseren krijg je volledig inzicht in wat er op je netwerk gebeurt, tot op het niveau van individuele bytes. Packet capture is een fundamenteel hulpmiddel voor netwerkbeheerders en beveiligingsprofessionals bij het opsporen van problemen, het detecteren van aanvallen en het uitvoeren van forensisch onderzoek na een beveiligingsincident.

De technologie bestaat al sinds de vroege dagen van computernetwerken, maar is met de toenemende complexiteit van netwerken en de groei van cyberdreigingen relevanter dan ooit. Moderne netwerken genereren enorme hoeveelheden verkeer, en packet capture stelt je in staat om door die stroom heen te kijken en precies te zien wat er gaande is. Tools zoals Wireshark, tcpdump en TShark maken packet capture toegankelijk voor zowel beginners als ervaren analisten en behoren tot de standaard toolkit van elke beveiligingsprofessional.

Hoe werkt packet capture?

Packet capture werkt door een netwerkinterface in promiscuous mode te zetten, waardoor het alle pakketten ontvangt die over het netwerksegment worden verzonden, niet alleen de pakketten die voor dat specifieke apparaat bestemd zijn. De gecapturde pakketten worden opgeslagen in het pcap-formaat, een gestandaardiseerd bestandsformaat dat door vrijwel alle analyse-tools wordt ondersteund. PCAP-bestanden bevatten volledige kopieeen van elk pakket inclusief alle headers en de volledige payload.

Voor deep packet inspection (DPI) worden de gecapturde pakketten laag voor laag gedecodeerd volgens het OSI-model. Je analyseert de Ethernet-laag voor MAC-adressen, de IP-laag voor bron- en bestemmings-IP's, de transportlaag voor TCP/UDP-poorten en de applicatielaag voor het daadwerkelijke protocol en de data-inhoud. DNS-queries, HTTP-verzoeken, SMTP-berichten en andere protocollen worden volledig zichtbaar gemaakt. Wireshark biedt decodering voor honderden protocollen en kan complexe sessies reconstrueren uit individuele pakketten, wat het tot de meest veelzijdige analysetool maakt die beschikbaar is.

In beveiligingscontexten wordt packet capture op strategische punten in het netwerk ingezet. Je plaatst capture-sensoren bij de netwerkperimeter om inkomend en uitgaand verkeer te monitoren, bij kritieke servers om toegangspatronen te analyseren en bij segmentgrenzen om laterale beweging te detecteren. Moderne SIEM-systemen en Network Detection and Response (NDR) oplossingen gebruiken packet capture als databron voor geautomatiseerde dreigingsdetectie, correlatie met andere beveiligingsgebeurtenissen en het genereren van forensisch bruikbare evidence bij incidenten.

Wanneer heb je packet capture nodig?

Packet capture is onmisbaar in meerdere beveiligingsscenario's. Bij incident response na een beveiligingsincident analyseer je pcap-bestanden om te reconstrueren wat er precies is gebeurd: welke systemen werden benaderd, welke data werd geexfiltreerd, via welke kanalen de aanvaller communiceerde en welke technieken werden gebruikt. Bij forensisch onderzoek vormen packet captures bewijsmateriaal dat de tijdlijn en het verloop van een aanval gedetailleerd documenteert en kan dienen als juridisch bewijs.

Voor continue monitoring gebruik je packet capture als onderdeel van je Network Detection and Response strategie. Door netwerkverkeer voortdurend te analyseren detecteer je anomalieen zoals ongebruikelijke datastromen, communicatie met bekende command-and-control servers, onversleuteld verkeer dat gevoelige gegevens bevat en pogingen tot data-exfiltratie via DNS-tunneling of andere covert channels. Packet capture is ook essentieel bij het testen en valideren van beveiligingsmaatregelen: je verifieert of encryptie correct is geimplementeerd, of firewall-regels werken zoals bedoeld en of netwerksegmentatie daadwerkelijk verkeer blokkeert dat niet mag passeren tussen zones.

Voordelen en beperkingen van packet capture

Het grootste voordeel van packet capture is de volledigheid: je legt alles vast wat over het netwerk gaat, zonder interpretatie of filtering. Dit maakt het de ultieme waarheidsbron bij het onderzoeken van beveiligingsincidenten, omdat je kunt terugkijken naar exact wat er is gebeurd zonder afhankelijk te zijn van logs die door een aanvaller gewijzigd kunnen zijn. Packet capture is protocol-onafhankelijk en werkt op elk type netwerk. Open-source tools zoals Wireshark en tcpdump zijn gratis beschikbaar en worden breed ondersteund door de beveiligingsgemeenschap.

De beperkingen zijn voornamelijk praktisch van aard. Volledige packet capture genereert enorme hoeveelheden data: een gigabit-netwerk produceert tot 450 gigabyte per uur aan capture-data, wat significante opslag- en verwerkingscapaciteit vereist. Versleuteld verkeer, dat inmiddels het merendeel van het internetverkeer uitmaakt, kan niet zonder meer worden geanalyseerd op content-niveau, hoewel metadata-analyse nog steeds waardevolle inzichten biedt. Daarnaast zijn er privacy-overwegingen: packet capture legt potentieel gevoelige communicatie vast, wat onder de AVG zorgvuldige afwegingen vereist over noodzaak, proportionaliteit, bewaartermijnen en toegangscontrole op de captures.

Packet capture tools en oplossingen

Naast Wireshark en tcpdump bestaan er diverse commerciele en open-source oplossingen voor packet capture op enterprise-niveau. Zeek (voorheen Bro) is een open-source network analysis framework dat packet capture combineert met geautomatiseerde protocol-analyse en security monitoring. Arkime (voorheen Moloch) is een open-source full packet capture systeem dat grote volumes netwerkverkeer kan opslaan en doorzoekbaar maakt via een webinterface. Commerciele oplossingen zoals Corelight, ExtraHop en Gigamon bieden enterprise-grade packet capture met geintegreerde dreigingsdetectie, machine learning en integratie met SIEM-platformen. Bij het kiezen van een oplossing weeg je de verwachte verkeersvolumes, opslagvereisten, retentieperiodes en integratiemogelijkheden met je bestaande beveiligingsstack mee. Voor kleinere omgevingen volstaat vaak een combinatie van tcpdump voor capture en Wireshark voor gedetailleerde analyse.

Veelgestelde vragen over packet capture

Wat is Wireshark?

Wireshark is de meest gebruikte open-source packet analyzer ter wereld. Het biedt een grafische interface voor het capturen en analyseren van netwerkverkeer, ondersteunt decodering van honderden protocollen en draait op Windows, macOS en Linux. TShark is de command-line variant voor geautomatiseerde capture en analyse in scripts en pipelines.

Mag ik zomaar netwerkverkeer capturen?

Nee, er zijn juridische en ethische beperkingen. Je mag alleen verkeer capturen op netwerken waarvoor je geautoriseerd bent als beheerder of beveiligingsprofessional. Onder de AVG moet je een gerechtvaardigd belang hebben en proportionaliteit waarborgen. Leg je capture-beleid vast in je beveiligingsbeleid en beperk de toegang tot pcap-bestanden tot geautoriseerd personeel.

Kan ik versleuteld verkeer analyseren met packet capture?

De headers zijn zichtbaar (bron, bestemming, protocol), maar de versleutelde payload niet. Met TLS-decryptie via pre-master secret keys kun je in testomgevingen versleuteld verkeer analyseren. In productie is dit beperkt tot metadata-analyse en flow-gebaseerde detectie van anomalieen in verkeerspatronen.

Hoeveel opslagruimte kost packet capture?

Een gigabit-netwerkverbinding kan tot 450 gigabyte per uur aan capture-data genereren bij volledige belasting. In de praktijk gebruik je filters om alleen relevant verkeer op te slaan, roterend capture-beleid met bewaartermijnen en header-only capture voor basale monitoring. Full packet capture bewaar je typisch 30 tot 90 dagen voor forensische doeleinden.

Wat is het verschil tussen packet capture en NetFlow?

Packet capture legt volledige pakketten vast inclusief payload. NetFlow registreert alleen metadata over netwerkstromen zoals bron, bestemming, protocol, volume en duur. NetFlow is veel lichter qua opslag maar biedt geen inhoudelijke analyse van de payload. Beide worden vaak gecombineerd: NetFlow voor breed verkeersoverzicht en packet capture voor diepe forensische analyse.

Vergelijk aanbieders van netwerkbeveiliging op Intrusion Detection & Prevention (IDS/IPS) op IBgidsNL.