Ein Sniffer ist eine Software, die den Datenverkehr eines Netzwerksegments empfangen und darstellen kann.
Ein Sniffer kennt den so genannten non-promiscuous mode und den promiscuous mode.
In ersterem Modus wird der ankommende und abgehende Datenverkehr des eigenen Computers gesnifft.
Im Promiscuous Mode sammelt der Sniffer den gesamten Datenverkehr an dem in diesen Modus geschalteten Netzwerkinterface. Es werden also nicht nur die an ihn adressierten Frames empfangen, sondern auch die nicht an ihn adressierten. An was ein Frame adressiert ist, wird in Ethernet Netzwerken anhand der MAC-Adresse festgelegt.
Weiterhin ist es von der Netzwerkstruktur abhängig, welche Daten ein Sniffer sehen kann. Werden die Computer mit Hubs verbunden kann sämtlicher Traffic von den anderen Hosts mitgeschnitten werden. Wird ein Switch verwendet ist grundsätzlich kein anderer Datenverkehr zu sehen. Allerdings gibt es in diesem Fall mehrere Möglichkeiten wie z.B. ARP-Spoofing um trotzdem die Frames empfangen zu können. Ein Switch darf also nicht als Sicherheitsfeature gesehen werden.
Es gibt mehrere Gründe einen Sniffer zu benutzen:
- Diagnose von Netzwerkproblemen
- Eindringungsversuche entdecken
- Netzwerktraffic-Analyse und Filterung nach verdächtigem Inhalt
- Datenspionage
Beliebte Sniffer sind: