En pakkesniffer, der også kaldes som en pakkeanalysator, protokolanalysator eller netværksanalysator, er et stykke hardware eller software, der bruges til at overvåge netværkstrafik. Sniffere arbejder ved at undersøge datastrømme, som flyder mellem computere på et netværk samt mellem netforbundne computere og det større internet. Disse pakker er beregnet til og henvender sig til specifikke maskiner, men ved at bruge en pakkesniffer i “promiskuøs tilstand“ kan IT-professionelle, slutbrugere eller ondsindede indtrængere undersøge en pakke, uanset destination. Det er muligt at konfigurere sniffere på to måder. Den første er “ufiltreret“, hvilket betyder, at den opfanger alle pakker, der er mulige, og skriver dem til en lokal harddisk til senere undersøgelse. Den næste er “filtreret“ tilstand, hvilket betyder, at analysatorer kun opfanger pakker, som indeholder specifikke dataelementer.
Pakkesniffere kan bruges på både kablede og trådløse netværk. Deres effektivitet afhænger af, hvor meget de er i stand til at “se“ som et resultat af netværkssikkerhedsprotokoller. På et kablet netværk kan sniffere have adgang til alle forbundne computeres pakker, eller de kan være begrænsede af placeringen af netværkskoblinger. På et trådløst netværk kan de fleste sniffere kun scanne en kanal ad gangen, men brugen af flere trådløse grænseflader kan udvide kapaciteten.
Udbredelse og risikofaktorer
Hvis man bruger en sniffer, er det muligt at opfange næsten alle oplysninger, f.eks. hvilke websteder en bruger besøger, hvad der bliver set på webstedet, indholdet og destinationen af en e-mail sammen med oplysninger om downloadede filer. Protokolanalysatorer anvendes ofte af virksomheder for at holde øje med medarbejdernes brug af netværk og også som en del af mange velrenommerede pakker med antivirussoftware. Udadrettede sniffere scanner indkommen netværkstrafik for specifikke elementer af skadelig kode og hjælper med at forebygge computervirus på computere og begrænse spredningen af malware.
Det er dog værd at bemærke, at disse analysatorer også kan anvendes til ondsindede formål. Hvis en bruger bliver overbevist om at downloade malware-ladede e-mailvedhæftelser eller inficerede filer fra et websted, kan en uautoriseret pakkesniffer blive installeret på en virksomheds netværk. Når pakkesnifferen er blevet installeret, kan den optage alle sendte data og sende dem til en kommando og kontrol (C&C) server til yderligere analyse. Det er så muligt for hackere at forsøge pakkeindskydning eller man-in-the-middle-angreb og kompromittere data, som ikke blev krypterede, før de blev sendt.
Korrekt brug af pakkesniffere kan være med til at rense netværkstrafik og begrænse malwareinfektioner; for at beskytte mod ondsindet brug, men det kræver intelligent sikkerhedssoftware.
