En paketsniffare är en enhet eller ett program som låter användaren avlyssna trafik som färdas mellan nätverksanslutna datorer. Programmet kommer att fånga data som är adresserat till andra maskiner och sparar det för senare analys.
All information som färdas över ett nätverk skickas i ”paket”. Till exempel, när ett e-postmeddelande skickas från en dator till en annan, delas det först upp i mindre segment. Varje segment har destinationsadressen bifogad, källadressen och annan information såsom antalet paket och återmonteringsordning. När de anländer till destinationen tas paketets sidhuvuden och sidfötter bort och paketen rekonstitueras.
I exemplet med det enklaste nätverket där datorer delar en Ethernet-kabel, ”ses” alla paket som färdas mellan datorerna av varje dator i nätverket. En hubb sänder varje paket till varje maskin eller nod i nätverket, sedan kasserar ett filter i varje dator paket som inte är adresserade till den. En paketsniffare inaktiverar detta filter för att fånga och analysera några eller alla paket som färdas genom Ethernet-kabeln, beroende på snifferns konfiguration. Detta kallas ”promiskuöst läge”. Som ett resultat, om Ms. Wise på Dator A skickar ett e-postmeddelande till Mr. Geek på Dator B, kan programvara som konfigurerats på Dator D passivt fånga deras kommunikationspaket utan att varken Ms. Wise eller Mr. Geek vet. Den här typen av sniffning är mycket svår att upptäcka eftersom den inte genererar någon egen trafik.
En lite säkrare miljö är ett switchat Ethernet-nätverk. Snarare än ett centralt nav som sänder all trafik på nätverket till alla maskiner, fungerar switchen som en central växel: den tar emot paket direkt från ursprungsdatorn och skickar dem direkt till den maskin som de är adresserade till. I det här scenariot, om dator A skickar ett e-postmeddelande till dator B och dator D är i promiskuöst läge, kommer den fortfarande inte att se paketen. Vissa människor antar felaktigt att en paketsniffer inte kan användas på ett växlat nätverk.
Det finns dock sätt att hacka switchprotokollet. En procedur som kallas ARP-förgiftning lurar i princip bytet till att ersätta maskinen med sniffern för destinationsmaskinen. Efter att ha samlat in data kan paketen skickas till den verkliga destinationen. Den andra tekniken är att översvämma växeln med MAC-adresser (nätverk) så att växeln förinställs i ”failopen”-läge. I det här läget börjar det bete sig som ett nav, och sänder alla paket till alla maskiner för att se till att trafiken kommer igenom. Både ARP-förgiftning och MAC-översvämning genererar trafiksignaturer som kan detekteras med rätt programvara.
Dessa program kan också användas på Internet för att fånga data som färdas mellan datorer. Internetpaket har ofta mycket långa avstånd att resa och passerar genom flera routrar som fungerar som mellanliggande postkontor. En sniffer kan installeras när som helst på vägen, och den kan också installeras i hemlighet på en server som fungerar som en gateway eller samlar in viktig personlig information.
En paketsniffare är inte bara ett hackers verktyg. Den kan användas för nätverksfelsökning och andra användbara ändamål. I fel händer kan dock denna programvara fånga känslig personlig information som kan leda till intrång i integriteten, identitetsstöld och andra allvarliga problem.
Det bästa försvaret mot avlyssning är ett bra brott: kryptering. När stark kryptering används är alla paket oläsbara för någon annan än destinationsadressen. Andra program kan fortfarande fånga paket, men innehållet kommer att vara otydligt. Detta illustrerar varför det är så viktigt att använda säkra webbplatser för att skicka och ta emot personlig information, såsom namn, adress, lösenord och säkerligen all kreditkortsinformation eller annan känslig information. En webbplats som använder kryptering börjar med https, och e-post kan göras säker genom att kryptera med ett program, varav några kommer med plug-ins för större e-postprogram.