En paketsniffer – även kallad paketanalysator, protokollanalysator eller nätverksanalysator – är en hårdvara eller programvara som används för att övervaka nätverkstrafik. Sniffers fungerar genom att undersöka strömmar av datapaket som flödar mellan datorer i ett nätverk samt mellan nätverksanslutna datorer och det större internet. Dessa paket är avsedda för – och adresserade till – specifika maskiner, men genom att använda en paketsniffer i "promiskuöst läge" kan IT-personal, slutanvändare eller illvilliga inkräktare undersöka alla paket, oavsett destination. Det finns två sätt att konfigurera sniffers. Det första är "ofiltrerat", vilket innebär att de fångar upp alla möjliga paket och skriver ner dem på en lokal hårddisk för senare granskning. Det andra är ett "filtrerat" läge, vilket innebär att analysatorerna endast fångar upp paket som innehåller specifika dataelement.
Paketsniffers kan användas i både trådbundna och trådlösa nätverk – deras effektivitet beror på hur mycket de kan "se" till följd av nätverkets säkerhetsprotokoll. I ett trådbundet nätverk kan sniffers ha tillgång till paketen från alla anslutna maskiner eller begränsas av placeringen av nätverksswitchar. I ett trådlöst nätverk kan de flesta sniffare bara skanna en kanal i taget, men vid användning av flera trådlösa gränssnitt kan den kapaciteten utökas.
Utbredning och riskfaktorer
Med hjälp av en sniffer går det att samla in nästan vilken information som helst – till exempel vilka webbplatser en användare besöker, vad som visas på webbplatsen, innehållet i och destinationen för ett e-postmeddelande samt information om eventuella nedladdade filer. Protokollanalysatorer används ofta av företag för att hålla reda på anställdas nätverksanvändning och är också en del av många välrenommerade antivirusprogram. Utåtriktade sniffers söker igenom inkommande nätverkstrafik efter specifika delar av skadlig programvara, vilket bidrar till att förhindra virusinfektioner och begränsa spridningen av skadlig programvara.
Det är dock värt att notera att dessa analysatorer också kan användas för skadliga syften. Om en användare övertalas att ladda ner e-postbilagor med skadlig programvara eller infekterade filer från en webbplats är det möjligt att en obehörig paketsniffer installeras i ett företagsnätverk. Väl på plats kan paketsniffern registrera alla data som överförs och skicka den till en ledningsserver (C&C) för vidare analys. Det är då möjligt för hackare att försöka sig på paketinjektion eller man-i-mitten-attacker, samt att kompromettera data som inte krypterades innan de skickades.
Korrekt användning av paketsniffers kan hjälpa till att rensa upp i nätverkstrafiken och begränsa infektioner av skadlig programvara. För att skydda mot skadlig användning krävs dock intelligent säkerhetsprogramvara.
