Sniffer pakietów to urządzenie lub program, który umożliwia użytkownikowi podsłuchiwanie ruchu przesyłanego między komputerami w sieci. Program przechwyci dane adresowane do innych maszyn, zapisując je do późniejszej analizy.
Wszystkie informacje, które podróżują przez sieć, są wysyłane w „pakietach”. Na przykład, gdy wiadomość e-mail jest wysyłana z jednego komputera na drugi, jest najpierw dzielona na mniejsze segmenty. Do każdego segmentu dołączony jest adres docelowy, adres źródłowy i inne informacje, takie jak liczba pakietów i kolejność składania. Po dotarciu do miejsca docelowego nagłówki i stopki pakietów są usuwane, a pakiety są odtwarzane.
W przykładzie najprostszej sieci, w której komputery współdzielą przewód Ethernet, wszystkie pakiety przesyłane między komputerami są „widziane” przez każdy komputer w sieci. Koncentrator rozgłasza każdy pakiet do każdego komputera lub węzła w sieci, a następnie filtr w każdym komputerze odrzuca pakiety, które nie są do niego zaadresowane. Sniffer pakietów wyłącza ten filtr, aby przechwytywać i analizować niektóre lub wszystkie pakiety przechodzące przez kabel Ethernet, w zależności od konfiguracji sniffera. Nazywa się to „trybem rozwiązłym”. W rezultacie, jeśli pani Wise na komputerze A wyśle wiadomość e-mail do pana Geeka na komputerze B, oprogramowanie skonfigurowane na komputerze D może pasywnie przechwycić ich pakiety komunikacyjne bez wiedzy pani Wise lub pana Geeka. Ten rodzaj sniffingu jest bardzo trudny do wykrycia, ponieważ sam nie generuje żadnego ruchu.
Nieco bezpieczniejszym środowiskiem jest przełączana sieć Ethernet. Zamiast centralnego koncentratora, który rozsyła cały ruch w sieci do wszystkich komputerów, przełącznik działa jak centralna tablica rozdzielcza: odbiera pakiety bezpośrednio z komputera źródłowego i wysyła je bezpośrednio do komputera, do którego są adresowane. W tym scenariuszu, jeśli komputer A wyśle wiadomość e-mail do komputera B, a komputer D jest w trybie rozwiązłym, pakiety nadal nie będą widoczne. Niektórzy błędnie zakładają, że sniffer pakietów nie może być używany w sieci przełączanej.
Istnieją jednak sposoby na zhakowanie protokołu przełącznika. Procedura zwana zatruciem ARP w zasadzie ogłupia przejście na zamianę maszyny na maszynę docelową snifferem. Po przechwyceniu danych pakiety mogą zostać wysłane do rzeczywistego miejsca docelowego. Inną techniką jest zalanie przełącznika adresami MAC (sieciowymi), tak aby przełącznik domyślnie działał w trybie „awaryjne”. W tym trybie zaczyna zachowywać się jak koncentrator, przesyłając wszystkie pakiety do wszystkich komputerów, aby upewnić się, że ruch przechodzi. Zarówno ARP poisoning, jak i MAC flooding generują sygnatury ruchu, które można wykryć za pomocą odpowiedniego oprogramowania.
Programy te mogą być również używane w Internecie do przechwytywania danych przesyłanych między komputerami. Pakiety internetowe często mają do pokonania bardzo duże odległości, przechodząc przez kilka routerów, które działają jak pośrednie urzędy pocztowe. Sniffer może zostać zainstalowany w dowolnym momencie po drodze, a także może być potajemnie zainstalowany na serwerze, który działa jako brama lub zbiera ważne dane osobowe.
Sniffer pakietów to nie tylko narzędzie hakera. Może być używany do rozwiązywania problemów z siecią i do innych przydatnych celów. Jednak w niepowołanych rękach oprogramowanie to może przechwytywać poufne dane osobowe, co może prowadzić do naruszenia prywatności, kradzieży tożsamości i innych poważnych problemów.
Najlepszą obroną przed podsłuchiwaniem jest dobre wykroczenie: szyfrowanie. Gdy używane jest silne szyfrowanie, wszystkie pakiety są nieczytelne dla żadnego adresu poza adresem docelowym. Inne programy mogą nadal przechwytywać pakiety, ale ich zawartość będzie nieczytelna. To ilustruje, dlaczego tak ważne jest korzystanie z bezpiecznych witryn do wysyłania i odbierania danych osobowych, takich jak imię i nazwisko, adres, hasła, a na pewno wszelkie informacje o karcie kredytowej lub inne dane wrażliwe. Witryna korzystająca z szyfrowania zaczyna się od https, a pocztę e-mail można zabezpieczyć, szyfrując ją za pomocą programu, z których niektóre są dostarczane z wtyczkami do głównych programów pocztowych.