Je to krutá ironia v oblasti informačnej bezpečnosti, že mnohé z funkcií, ktoré zjednodušujú alebo zefektívňujú používanie počítačov a nástroje na ochranu a zabezpečenie siete, môžu byť použité aj na zneužívanie a kompromisy tých istých počítačov a sietí. To je prípad čuchania paketov.
Zariadenie na snímanie paketov , niekedy označované ako sieťový monitor alebo sieťový analyzátor, môže správne používať sieť alebo správca systému na monitorovanie a odstraňovanie problémov so sieťovým prenosom. Použitím informácií zachytávaných paketovým snifferom môže správca identifikovať chybné pakety a používať údaje na presné vyhľadávanie úzkych miest a pomáha udržiavať efektívny prenos dátových sietí.
Vo svojej jednoduchej forme paketový snímač jednoducho zachycuje všetky pakety dát, ktoré prechádzajú cez dané sieťové rozhranie. Zvyčajne by paket sniffer zachytil iba pakety, ktoré boli určené pre daný stroj. Avšak ak je umiestnený do promiskuitného režimu, paketový snímač je tiež schopný zachytiť VŠETKY pakety prechádzajúce cez sieť bez ohľadu na cieľ.
Umiestnením paketového sniffera do siete v promiskuitnom režime môže škodlivý votrelca zachytiť a analyzovať celú sieťovú prevádzku. V rámci danej siete sa informácie o používateľských menách a heslách všeobecne prenášajú v jasnom texte, čo znamená, že informácie budú viditeľné analyzovaním prenášaných paketov.
Zberač paketov môže zachytiť iba informácie o paketoch v rámci danej podsieti. Takže pre zlého útočníka nie je možné umiestniť paket sniffer do svojej domácej ISP siete a zachytiť sieťový prenos z vnútra vašej firemnej siete (hoci existujú spôsoby, ktorými existujú viac či menej "únos" služieb bežiacich vo vašej internej sieti, vykonajte čichanie paketov zo vzdialeného miesta). Aby to bolo možné, paketový sniffer musí bežať na počítači, ktorý je tiež v podnikovej sieti. Ak sa však jeden počítač vo vnútornej sieti stane ohrozený prostredníctvom trójskeho alebo iného narušenia bezpečnosti, narušiteľ by mohol z tohto zariadenia spustiť paketový sniffer a použiť informácie získané používateľským menom a heslom na kompromitáciu iných zariadení v sieti.
Odhaľovanie nepríjemných paketov čuchajúcich v sieti nie je jednoduchá úloha. Svojou povahou je paket sniffer pasívny. Jednoducho zachytáva pakety, ktoré cestujú do sieťového rozhrania, ktoré sleduje. To znamená, že vo všeobecnosti neexistuje žiaden podpis alebo nesprávna návštevnosť, ktorá by vyhľadávala, ktorá by identifikovala stroj, na ktorom beží packet sniffer. Existujú spôsoby, ako identifikovať sieťové rozhrania vo vašej sieti, ktoré sú spustené v promiskuitnom režime a to môže byť použité ako prostriedok na vyhľadávanie nepríjemných paketov.
Ak ste jedným z dobrých chlapcov a potrebujete udržiavať a monitorovať sieť, odporúčam vám zoznámiť sa s monitormi siete alebo čítačkami paketov, ako je Ethereal. Zistite, aké typy informácií možno odlíšiť od zachytených údajov a ako ich môžete použiť na udržiavanie hladkej prevádzky vašej siete. Ale tiež si uvedomte, že používatelia vo vašej sieti môžu mať nepríjemné paketové snifery, a to buď experimentovať zo zvedavosti, alebo so škodlivým úmyslom, a že by ste mali urobiť to, čo je to možné, aby ste sa ubezpečili, že sa to nestane.