Przechwytywanie pakietów to po prostu proces przechwytywania pakietów danych przesyłanych przez sieć komputerową. Podczas normalnego przechwytywania pakietów zbierane są tylko dane pomocnicze zawarte w nagłówku pakietu, takie jak informacje o adresie lub format protokołu internetowego (IP) pakietu. W przypadku głębokiego przechwytywania pakietów (DPC) pozyskiwany jest cały pakiet, zarówno informacje nagłówkowe, jak i rzeczywista zawartość danych. Proces ten jest również często określany jako sniffing pakietów.
Niezależnie od metody przechwytywania pakietów, proces może odbywać się na dowolnej z warstw modelu połączeń systemów otwartych (OSI) powyżej warstwy pierwszej, warstwy fizycznej, ponieważ warstwa fizyczna działa tylko z bitami w postaci sygnałów elektrycznych. Przechwytywanie pakietów nie następuje, dopóki te strumienie jedynek i zer nie zostaną z powrotem przekształcone w pakiety danych, które można następnie zebrać. W dowolnym interfejsie sieciowym zbieranie może mieć miejsce tylko w przypadku pakietów przeznaczonych dla adresu należącego do tego interfejsu, chyba że interfejs jest skonfigurowany do pracy w trybie znanym jako tryb promiscuous. Interfejs sieciowy działający rozwiązły jest w stanie przechwytywać nie tylko własne pakiety, ale także te przeznaczone dla innych.
Kiedy administrator sieci chce pozyskać pakiety przechodzące przez interfejs sieciowy, ma możliwość pobrania kompletnego lub przefiltrowanego. Kompletny zbiór nie ma granic, więc przechwytywane są wszystkie pakiety przechodzące przez interfejs. Jednak podczas filtrowania pakietów są one oceniane podczas przechodzenia przez interfejs i zbierane są tylko niektóre pakiety spełniające określone kryteria. Dzięki temu administrator może przechowywać tylko te typy pakietów, które go interesują lub pakiety skierowane do określonych adresów. Kolekcje filtrowane również oszczędzają zasoby sprzętowe i mogą być używane do zaokrąglania pakietów, które mogą być później potrzebne do udowodnienia winy.
Za przechwytywaniem pakietów kryje się wiele celów, z których wszystkie dotyczą pojęcia głębokiej inspekcji pakietów (DPI). Pozyskiwane pakiety są sprawdzane i analizowane z wielu powodów, z których większość obejmuje wykrywanie włamań, bezpieczeństwo i integralność danych lub wydajność sieci, chociaż istnieją pewne nikczemne cele przechwytywania pakietów. W rezultacie, rozważając głębokie przechwytywanie i inspekcję pakietów, mogą pojawić się poważne obawy dotyczące prywatności.
Kiedy proces analizy musi się odbyć, może to nastąpić natychmiast, ponieważ pakiety faktycznie przemieszczają się przez interfejs, dzięki czemu oprogramowanie do przechwytywania i kontroli pakietów może podejmować decyzje. Alternatywnie mogą być przechowywane na dysku twardym komputera przez czas nieokreślony. W przypadku analizy w czasie rzeczywistym pakiety można oceniać tylko pod kątem znanych problemów lub obaw związanych z bezpieczeństwem, podczas gdy zebrane w pamięci masowej mogą być później analizowane przez specjalistów ds. kryminalistyki danych, aby pomóc określić, kiedy i w jaki sposób doszło do naruszenia bezpieczeństwa.
Dostępnych jest wiele programów do przechwytywania pakietów. Niektórzy producenci sprzętu sieciowego udostępniają w swoich urządzeniach funkcje, takie jak wbudowane funkcje przechwytywania pakietów w internetowym systemie operacyjnym (IOS), udostępniane na sprzęcie Cisco Systems®. Sniffery pakietów istnieją jednak w wielu formach, od prostego zbierania do bardziej szczegółowej analizy. Wiele z najpopularniejszych snifferów pakietów to projekty oprogramowania typu open source, takie jak Wireshark i WinPcap, które nie tylko przechwytują pakiety, ale także obsługują zadania związane z inspekcją i analizą pakietów. Są one często aktualizowane przez zróżnicowaną społeczność, aby być na bieżąco z najnowszymi problemami dotyczącymi bezpieczeństwa.