Jest metodą polegającą na ?węszeniu? pakietów przepływających w sieci. Każdy komputer podłączony do lokalnej sieci komputerowej ma swój unikalny adres sprzętowy MAC. W sieci, w której występuje rozsyłanie (broadcasting), dane są wysyłane do wszystkich komputerów, ale odbiorcą jest tylko ten do którego są zaadresowane. Wykorzystując fakt, że karty sieciowe w trybie mieszanym (promiscuous mode) pozwalają na odczytywanie pakietów przesyłanych do innych komputerów w sieci, haker może przechwycić poufne informacje przesyłane poprzez sieć. Programy służące w tym celu nazywa się snifferami. Zainstalowanie sniffera w jakimś newralgicznym miejscu sieci, np. na routerze, może doprowadzić do złamania zabezpieczeń wszystkich innych stacji roboczych z nim połączonych. Programy tego typu na ogół przechwytują wszystkie pakiety z danymi. Jeśli haker nie kradnie danych, to z jego punktu widzenia większość pakietów nie ma dla niego większego znaczenia, dlatego też ogranicza się przechwytywanie do kilkuset bajtów z każdego pakietu. Zazwyczaj wystarcza to do poznania nazwy użytkownika i jego hasła. Sniffery można zainstalować praktycznie na każdej maszynie w sieci, ale najbardziej interesujące dla hakera są miejsca, gdzie dokonuje się procedur autoryzacji. Ponieważ większość komunikacji sieciowej przesyłana jest otwartym tekstem, istnieje bardzo duże niebezpieczeństwo wycieku poufnych informacji tą drogą. Powszechnie wykorzystywanymi protokołami, które w żaden sposób nie zabezpieczają transmisji są: HTTP, FTP, TELNET, POP3, SMTP czy SQL. Na ogół dostępne są bezpieczne alternatywy dla wymienionych protokołów, które wykorzystują algorytmy kryptograficzne w celu zapewnienia poufności, spójności oraz integralności informacji. Gdy brak bezpiecznego odpowiednika lub są trudności z jego wdrożeniem, istnieje możliwość tunelowania ruchu w szyfrowanym strumieniu. Sniffery pierwotnie używane są przez administratorów w celu identyfikacji potencjalnych problemów, jednakże z czasem zostały zaadaptowane przez hakerów, ponieważ świetnie nadają się do przechwytywania cennych danych.
Rodzaje snifferów
Sniffery występują w postaci programów darmowych oraz pakietów komercyjnych. Te pierwsze są łatwo dostępne, bezpłatne, rozprowadzane głównie w postaci kodu źródłowego. Drugie są produktami, których cena niejednokrotnie sięga kilku tysięcy dolarów. Ze względu na umiejscowienie sniffera w sieci wyróżnić można trzy sytuacje:
- sniffer znajduje się na routerze znajdującym się między siecią lokalną a Internetem (połączenie nie musi być bezpośrednie), bądź też między różnymi sieciami lokalnymi lub rozległymi, ten rodzaj sniffingu jest najbardziej niebezpieczny;
- sniffer znajduje się na komputerze, z którego inicjowane jest połączenie;
- sniffer działa na komputerze, na który następuje próba logowania użytkownika.