Sebuah packet sniffer adalah perangkat atau program yang memungkinkan pengguna untuk menguping lalu lintas perjalanan antara komputer jaringan. Program akan menangkap data yang dialamatkan ke mesin lain, menyimpannya untuk analisis nanti.
Semua informasi yang melintasi jaringan dikirim dalam “paket”. Misalnya, ketika email dikirim dari satu komputer ke komputer lain, pertama-tama email tersebut dipecah menjadi segmen-segmen yang lebih kecil. Setiap segmen memiliki alamat tujuan terlampir, alamat sumber, dan informasi lain seperti jumlah paket dan urutan perakitan kembali. Begitu mereka tiba di tujuan, header dan footer paket dihapus, dan paket disusun kembali.
Dalam contoh jaringan paling sederhana di mana komputer berbagi kabel Ethernet, semua paket yang berjalan di antara komputer “dilihat” oleh setiap komputer di jaringan. Sebuah hub menyiarkan setiap paket ke setiap mesin atau node di jaringan, kemudian filter di setiap komputer membuang paket yang tidak ditujukan padanya. Sebuah packet sniffer menonaktifkan filter ini untuk menangkap dan menganalisis beberapa atau semua paket yang berjalan melalui kabel Ethernet, tergantung pada konfigurasi sniffer. Ini disebut sebagai “modus promiscuous.” Akibatnya, jika Ms. Wise di Komputer A mengirim email ke Mr. Geek di Komputer B, perangkat lunak yang dipasang di Komputer D dapat secara pasif menangkap paket komunikasi mereka tanpa diketahui Ms. Wise atau Mr. Geek. Jenis sniffing ini sangat sulit dideteksi karena tidak menghasilkan lalu lintas sendiri.
Lingkungan yang sedikit lebih aman adalah jaringan Ethernet yang diaktifkan. Alih-alih hub pusat yang menyiarkan semua lalu lintas di jaringan ke semua mesin, sakelar bertindak seperti switchboard pusat: ia menerima paket langsung dari komputer asal, dan mengirimkannya langsung ke mesin yang dituju. Dalam skenario ini, jika Komputer A mengirim email ke Komputer B, dan Komputer D dalam mode promiscuous, paket tetap tidak akan terlihat. Beberapa orang secara keliru menganggap packet sniffer tidak dapat digunakan pada jaringan yang diaktifkan.
Namun, ada cara untuk meretas protokol sakelar. Sebuah prosedur yang disebut keracunan ARP pada dasarnya membodohi saklar untuk mengganti mesin dengan sniffer untuk mesin tujuan. Setelah menangkap data, paket dapat dikirim ke tujuan sebenarnya. Teknik lainnya adalah membanjiri sakelar dengan alamat MAC (jaringan) sehingga sakelar default ke mode “failopen”. Dalam mode ini ia mulai berperilaku seperti hub, mentransmisikan semua paket ke semua mesin untuk memastikan lalu lintas melewatinya. Baik keracunan ARP dan banjir MAC menghasilkan tanda tangan lalu lintas yang dapat dideteksi dengan perangkat lunak yang tepat.
Program-program ini juga dapat digunakan di Internet untuk menangkap data perjalanan antar komputer. Paket internet seringkali memiliki jarak yang sangat jauh untuk dilalui, melewati beberapa router yang bertindak seperti kantor pos perantara. Sniffer mungkin dipasang di titik mana pun di sepanjang jalan, dan bisa juga dipasang secara sembunyi-sembunyi di server yang bertindak sebagai pintu gerbang atau mengumpulkan informasi pribadi yang penting.
Sebuah packet sniffer bukan hanya alat hacker. Ini dapat digunakan untuk pemecahan masalah jaringan dan tujuan berguna lainnya. Namun, di tangan yang salah, perangkat lunak ini dapat menangkap informasi pribadi sensitif yang dapat menyebabkan pelanggaran privasi, pencurian identitas, dan masalah serius lainnya.
Pertahanan terbaik terhadap penyadapan adalah pelanggaran yang baik: enkripsi. Ketika enkripsi yang kuat digunakan, semua paket tidak dapat dibaca ke mana pun kecuali ke alamat tujuan. Program lain masih dapat menangkap paket, tetapi isinya tidak dapat diuraikan. Ini menggambarkan mengapa sangat penting untuk menggunakan situs yang aman untuk mengirim dan menerima informasi pribadi, seperti nama, alamat, kata sandi, dan tentunya informasi kartu kredit atau data sensitif lainnya. Situs web yang menggunakan enkripsi dimulai dengan https, dan email dapat dibuat aman dengan mengenkripsi dengan sebuah program, beberapa di antaranya dilengkapi dengan plug-in untuk program email utama.