En pakkesniffer – også kjent som en pakkeanalyssator, protokollanalysator eller nettverksanalysator – er en maskinvare eller programvare som brukes til å overvåke nettverkstrafikk. Sniffere arbeider ved å undersøke strømmer av datapakker som flyter mellom datamaskiner på et nettverk, så vel som mellom nettverksbaserte datamaskiner og det større internett. Disse pakkene er ment for – og adressert til – spesifikke maskiner, men bruk av en pakkesniffer i "promiskuøs modus" gjør det mulig for IT-fagfolk, sluttbrukere eller ondsinnede inntrengere å undersøke enhver pakke, uavhengig av destinasjon. Det er mulig å konfigurere sniffere på to måter. Den første er "ufiltrert", noe som betyr at de vil fange opp alle mulige pakker og skrive dem til en lokal harddisk for senere undersøkelse. Den neste er "filtrert" modus, noe som betyr at analysatorer bare vil fange opp pakker som inneholder spesifikke dataelementer.
Pakkesniffere kan brukes både på kablede og trådløse nettverk – effektiviteten avhenger av hvor mye de er i stand til å "se" som et resultat av nettverkssikkerhetsprotokoller. På et kablet nettverk kan sniffere få tilgang til pakkene til hver tilkoblet maskin eller være begrenset av plasseringen av nettverkssvitsjer. På et trådløst nettverk kan de fleste sniffere bare skanne én kanal om gangen, men bruk av flere trådløse grensesnitt kan utvide dette.
Prevalens og risikofaktorer
Ved å bruke en sniffer er det mulig å fange nesten all informasjon – for eksempel hvilke nettsteder en bruker besøker, hva som vises på nettstedet, innholdet og destinasjonen til enhver e-post, sammen med detaljer om eventuelle nedlastede filer. Protokollanalysatorer brukes ofte av selskaper for å holde oversikt over nettverksbruken til ansatte og er også en del av mange anerkjente antivirusprogramvarepakker. Utadrettede sniffere skanner innkommende nettverkstrafikk for spesifikke elementer av ondsinnet kode, noe som bidrar til å forhindre datavirusinfeksjoner og begrense spredningen av skadelig programvare.
Det er verdt å legge merke til at disse analysatorene imidlertid også kan brukes for skadelige formål. Hvis en bruker blir overtalt til å laste ned e-postvedlegg med skadelig programvare eller infiserte filer fra en nettside, er det mulig at en uautorisert pakkesniffer kan bli installert på et bedriftsnettverk. Når den er installert, kan pakkesnifferen registrere alle data som overføres og sende dem til en kommando- og kontrollserver (C&C) for videre analyse. Videre er det mulig for hackere å forsøke pakkeinjisering eller man-in-the-middle-angrep, i tillegg til å kompromittere data som ikke ble kryptert før de ble sendt.
Riktig bruk av pakkesniffere kan bidra til å rydde opp i nettverkstrafikk og begrense skadelig programvare. Beskyttelse mot ondsinnet bruk krever imidlertid en intelligent sikkerhetsprogramvare.
