Een packet sniffer (of een packet analyzer, pakketanalysator, protocolanalysator of netwerkanalysator) is hardware of software die wordt gebruikt om netwerkverkeer te monitoren. Sniffers werken door stromen van gegevenspakketten te onderzoeken die tussen computers op een netwerk of netwerkcomputers en het grotere internet stromen. Deze pakketten zijn bedoeld voor (en gericht aan) specifieke machines, maar met het gebruik van een packet sniffer in 'promiscue modus' kunnen IT-professionals, eindgebruikers en kwaadwillende indringers elk pakket onderzoeken, ongeacht de bestemming. Het is op twee manieren mogelijk om sniffers te configureren. De eerste manier is 'ongefilterd', wat betekent dat alle mogelijke pakketten worden vastgelegd en naar een lokale harde schijf worden geschreven voor later onderzoek. De tweede manier is de modus 'gefilterd', wat betekent dat analysatoren alleen pakketten vastleggen die specifieke gegevenselementen bevatten.
Packet sniffers kunnen op bekabelde en draadloze netwerken worden gebruikt. De werkzaamheid hangt af van hoeveel ze kunnen 'zien' als resultaat van netwerkbeveiligingsprotocollen. Op een bekabeld netwerk hebben sniffers mogelijk toegang tot de pakketten van elke verbonden machine, of ze zijn mogelijk beperkt tot de plaatsing van netwerkswitches. Op een draadloos netwerk kunnen de meeste sniffers maar één kanaal tegelijkertijd scannen, maar het gebruik van meerdere draadloze interfaces kan de mogelijkheden uitbreiden.
Prevalentie en risicofactoren
Met gebruik van een sniffer is het mogelijk om vrijwel alle informatie vast te leggen, bijvoorbeeld welke website een gebruiker bezoekt, wat op de site wordt bekeken, de content en bestemming van een e-mail samen met details over gedownloade bestanden. Protocolanalysatoren worden vaak door bedrijven gebruikt om netwerkgebruik door werknemers bij te houden en ze maken vaak deel uit van veel gerenommeerde pakketten voor antivirussoftware. Naar buiten gerichte sniffers scannen inkomend netwerkverkeer voor specifieke elementen van schadelijke code, wat helpt computervirusinfecties te voorkomen en de verspreiding van malware te beperken.
Het is echter de moeite waard om op te merken dat deze analysatoren ook voor kwaadaardige doeleinden kunnen worden gebruikt. Als een gebruiker is overtuigd om e-mailbijlagen met malware of geïnfecteerde bestanden van een website te downloaden, kan een niet-geautoriseerde packet sniffer worden geïnstalleerd op een bedrijfsnetwerk. Eenmaal geplaatst kan de packet sniffer alle gegevens die worden verzonden opslaan en naar een C&C-server (command and control) sturen voor verdere analyse. Dan kunnen hackers proberen een packet te injecteren of man-in-the-middle-aanvallen uit te voeren, naast het compromitteren van gegevens die niet waren versleuteld voor ze werden verzonden.
Door packet sniffers goed te gebruiken kun je netwerkverkeer opschonen en malware-infecties beperken. Intelligente beveiligingssoftware is echter vereist ter bescherming tegen kwaadaardig gebruik.
