Un sniffer de pachete este un dispozitiv sau program care permite utilizatorului să asculte cu urechea traficul care circulă între computerele aflate în rețea. Programul va capta date care sunt adresate altor mașini, salvându-le pentru analiză ulterioară.
Toate informațiile care circulă printr-o rețea sunt trimise în „pachete”. De exemplu, atunci când un e-mail este trimis de la un computer la altul, acesta este mai întâi împărțit în segmente mai mici. Fiecare segment are atașată adresa de destinație, adresa sursă și alte informații, cum ar fi numărul de pachete și ordinea de reasamblare. Odată ce ajung la destinație, anteturile și subsolurile pachetului sunt îndepărtate, iar pachetele sunt reconstituite.
În exemplul celei mai simple rețele în care computerele partajează un fir Ethernet, toate pachetele care călătoresc între computere sunt „văzute” de fiecare computer din rețea. Un hub difuzează fiecare pachet către fiecare mașină sau nod din rețea, apoi un filtru din fiecare computer aruncă pachetele care nu îi sunt adresate. Un sniffer de pachete dezactivează acest filtru pentru a captura și analiza unele sau toate pachetele care călătoresc prin cablul Ethernet, în funcție de configurația sniffer-ului. Acesta este denumit „mod promiscuu”. În consecință, dacă doamna Wise de pe computerul A trimite un e-mail domnului Geek de pe computerul B, software-ul configurat pe computerul D le-ar putea capta pasiv pachetele de comunicare fără ca nici dna Wise, nici domnul geek să știe. Acest tip de sniffing este foarte greu de detectat, deoarece nu generează trafic propriu.
Un mediu puțin mai sigur este o rețea Ethernet comutată. Mai degrabă decât un hub central care difuzează tot traficul din rețea către toate mașinile, comutatorul acționează ca o centrală centrală: primește pachete direct de la computerul de origine și le trimite direct către mașina căreia îi sunt adresate. În acest scenariu, dacă computerul A trimite un e-mail către computerul B și computerul D este în modul promiscuu, tot nu va vedea pachetele. Unii oameni presupun în mod eronat că un sniffer de pachete nu poate fi utilizat într-o rețea comutată.
Cu toate acestea, există modalități de a pirata protocolul de comutare. O procedură numită otrăvire ARP păcălește practic trecerea la înlocuirea mașinii cu sniffer pentru mașina de destinație. După capturarea datelor, pachetele pot fi trimise la destinația reală. Cealaltă tehnică este să inundați comutatorul cu adrese MAC (de rețea), astfel încât comutatorul să treacă implicit în modul „failopen”. În acest mod, începe să se comporte ca un hub, transmitând toate pachetele către toate mașinile pentru a se asigura că traficul trece. Atât intoxicarea ARP, cât și inundarea MAC generează semnături de trafic care pot fi detectate cu software-ul potrivit.
Aceste programe pot fi folosite și pe Internet pentru a captura date care călătoresc între computere. Pachetele de internet au adesea distante foarte mari de parcurs, trecand prin mai multe routere care actioneaza ca oficii postale intermediare. Un sniffer poate fi instalat în orice punct de-a lungul drumului și poate fi, de asemenea, instalat în mod clandestin pe un server care acționează ca o poartă sau care colectează informații personale vitale.
Un sniffer de pachete nu este doar instrumentul unui hacker. Poate fi folosit pentru depanarea rețelei și alte scopuri utile. În mâinile greșite, totuși, acest software poate capta informații personale sensibile care pot duce la invadarea confidențialității, furtul de identitate și alte probleme grave.
Cea mai bună apărare împotriva interceptării este o ofensă bună: criptarea. Când se folosește criptarea puternică, toate pachetele sunt ilizibile la orice altă adresă, cu excepția adresei de destinație. Alte programe mai pot captura pachete, dar conținutul va fi indescifrabil. Acest lucru ilustrează de ce este atât de important să folosiți site-uri securizate pentru a trimite și primi informații personale, cum ar fi numele, adresa, parolele și cu siguranță orice informații despre cardul de credit sau alte date sensibile. Un site web care folosește criptarea începe cu https, iar e-mailul poate fi securizat prin criptarea cu un program, dintre care unele vin cu plug-in-uri pentru programele de e-mail majore.