Sniffer és un analitzador de trànsit capaç d’interceptar informació destinada a altres nodes. Els ensumadors poden recollir informació durant poc temps o agafar diversos bytes d’un paquet o fins i tot una sessió sencera.
Un sniffer o analitzador de trànsit és un programa especial capaç d’interceptar i / o analitzar el trànsit de xarxa destinat a altres nodes. Com ja sabeu, la transmissió d’informació per la xarxa es realitza en paquets, des de la màquina de l’usuari fins a la màquina remota, de manera que si instal·leu un sniffer en un ordinador intermedi, capturarà els paquets passants abans que arribin a l’objectiu.
El treball d'un sniffer pot diferir significativament del treball d'un altre. El paquet estàndard comença el seu moviment des de l'ordinador de l'usuari i després a través de cada ordinador de la xarxa, passant per l '"ordinador veí", "l'ordinador equipat amb un sniffer" i acabant amb l' "ordinador remot". Una màquina ordinària no presta atenció a un paquet que no està destinat a la seva adreça IP, i una màquina amb un sniffer ignora aquestes regles i intercepta qualsevol paquet que estigui en el seu "camp d'activitat". Un sniffer és el mateix que un analitzador de xarxa, però les empreses de seguretat i el govern federal prefereixen utilitzar una paraula per fer-ho.
Atac passiu
Els pirates informàtics de tot arreu utilitzen aquest dispositiu per supervisar la informació enviada i això no és més que un atac passiu. És a dir, no hi ha cap intrusió directa a la xarxa ni a l'ordinador d'una altra persona, però hi ha l'oportunitat d'obtenir la informació i les contrasenyes desitjades. A diferència d’un atac actiu que suposa desbordaments de memòria intermèdia d’allotjament remot i inundacions de xarxa, no es pot detectar un atac passiu de sniffer. Les traces de les seves activitats no es registren enlloc. Tot i això, la naturalesa de les seves accions no deixa lloc a l’ambigüitat.
Aquest dispositiu permet rebre qualsevol tipus d’informació transmesa a la xarxa: contrasenyes, adreces de correu electrònic, documents confidencials, etc. A més, com més a prop s’instal·la el sniffer a la màquina amfitriona, més oportunitats té d’obtenir informació secreta.
Tipus de sniffer
Molt sovint s’utilitzen dispositius que realitzen mostreigs d’informació a curt termini i funcionen en xarxes petites. El fet és que un sniffer capaç de controlar constantment els paquets consumeix molta energia de la CPU, a causa de la qual cosa es pot detectar el dispositiu. En xarxes grans, els sniffers que operen en protocols de transferència de dades grans poden generar fins a 10 MB al dia si estan equipats amb el registre de tot el trànsit conversacional. I si també es processa el correu, els volums poden ser encara més grans. També hi ha un tipus de sniffer que només escriu els primers bytes d’un paquet per capturar un nom d’usuari i una contrasenya. Alguns dispositius segresten tota la sessió i desconnecten la clau. El tipus de sniffer es selecciona en funció de les capacitats de la graella i dels desitjos de l’hacker.
