Sniffer là một bộ phân tích lưu lượng có khả năng chặn thông tin dành cho các nút khác. Kẻ đánh hơi có thể thu thập thông tin trong một thời gian ngắn, hoặc lấy vài byte của một gói hoặc thậm chí toàn bộ phiên.
Trình đánh hơi, hoặc phân tích lưu lượng, là một chương trình đặc biệt có khả năng chặn và / hoặc phân tích lưu lượng mạng dành cho các nút khác. Như bạn đã biết, việc truyền thông tin qua lưới được thực hiện dưới dạng các gói - từ máy của người dùng đến máy ở xa, vì vậy nếu bạn cài đặt trình đánh hơi trên một máy tính trung gian, nó sẽ nắm bắt các gói đi qua trước khi chúng đến được mục tiêu.
Công việc của một người đánh hơi có thể khác đáng kể so với công việc của người khác. Gói chuẩn bắt đầu chuyển động của nó từ PC của người dùng và sau đó qua từng máy tính trong mạng, đi qua “máy tính lân cận”, “máy tính được trang bị bộ dò tìm” và kết thúc bằng “máy tính từ xa”. Một máy thông thường không chú ý đến một gói không dành cho địa chỉ IP của nó, và một máy có bộ dò tìm bỏ qua các quy tắc này và chặn bất kỳ gói nào nằm trong "lĩnh vực hoạt động" của nó. Máy đánh hơi cũng giống như máy phân tích mạng, nhưng các công ty bảo mật và Chính phủ Liên bang thích sử dụng một từ cho nó.
Tấn công bị động
Tin tặc ở khắp mọi nơi sử dụng thiết bị này để theo dõi thông tin được gửi, và đây không gì khác hơn là một cuộc tấn công bị động. Có nghĩa là, không có sự xâm nhập trực tiếp vào mạng hoặc máy tính của người khác, nhưng vẫn có cơ hội lấy được thông tin và mật khẩu mong muốn. Không giống như một cuộc tấn công chủ động liên quan đến tràn bộ đệm lưu trữ từ xa và lũ lụt mạng, một cuộc tấn công đánh hơi thụ động không thể bị phát hiện. Dấu vết hoạt động của anh ta không được ghi lại ở bất cứ đâu. Tuy nhiên, bản chất hành động của anh ta không có chỗ cho sự mơ hồ.
Thiết bị này cho phép bạn nhận bất kỳ loại thông tin nào được truyền trên mạng: mật khẩu, địa chỉ e-mail, tài liệu bí mật, v.v. Hơn nữa, trình thám thính được cài đặt càng gần máy chủ thì càng có nhiều cơ hội lấy được thông tin bí mật.
Các kiểu khịt mũi
Thông thường, các thiết bị được sử dụng để lấy mẫu thông tin ngắn hạn và hoạt động trong các mạng nhỏ. Thực tế là một trình đánh hơi có khả năng liên tục theo dõi các gói sẽ tiêu tốn rất nhiều năng lượng của CPU, do đó thiết bị có thể bị phát hiện. Trong các mạng lớn, trình đánh hơi hoạt động trên các giao thức truyền dữ liệu lớn có khả năng tạo ra tới 10 MB mỗi ngày nếu chúng được trang bị đăng ký tất cả lưu lượng đàm thoại. Và nếu thư cũng được xử lý, thì khối lượng có thể còn lớn hơn. Ngoài ra còn có một loại trình đánh hơi chỉ ghi vài byte đầu tiên của một gói để lấy tên người dùng và mật khẩu. Một số thiết bị chiếm quyền điều khiển toàn bộ phiên và đánh sập khóa. Loại trình đánh hơi được lựa chọn tùy thuộc vào khả năng của lưới và mong muốn của hacker.