Sniffer jest to narzędzie sieciowe (program i/lub urządzenie) do monitorowania, gromadzenia i analizy wiadomości (pakietów danych) przesyłanych przez sieć (zarówno przewodową, jak i bezprzewodową).
Funkcjonowanie sniffera zawiera się w sekwencji trzech następujących działań: zbieranie danych (nasłuchiwanie ruchu w sieci i rejestracja danych nieinterpretowanych), konwersja danych (przetwarzanie w format czytelny dla człowieka), analiza danych (weryfikacja i filtrowanie zdarzeń, maszyn, protokołów; część snifferów nie posiada tej funkcji wymagając zastosowania innego oprogramowania). Etymologia pojęcia „sniffing” jest niewyszukana – oznacza dosłownie czynność wąchania lub węszenia. Sniffing był popularny w ostatnim dziesięcioleciu XX wieku, gdy ruch sieciowy, w szczególności zwykłych użytkowników, rzadko był szyfrowany.
Sniffing to zarówno czynność diagnostyczna podejmowana przez użytkowników autoryzowanych (administratorów, specjalistów bezpieczeństwa IT), jak również przez osoby nieautoryzowane (cyberprzestępców, hakerów) prowadzące rozpoznanie najczęściej na potrzeby planowanego ataku. Sniffing może dostarczyć obu grupom informacji o hasłach i loginach (jeśli nieszyfrowane), rodzajach i wersjach urządzeń (w tym identyfikatorach sprzętowych i sieciowych) i oprogramowania znajdującego się w danej sieci, używanych protokołach komunikacji urządzeń sieciowych, obciążeniu i wydajności sieci, lukach konfiguracyjnych, odwiedzanych przez użytkowników witrynach i uruchamianych programach oraz odbywającej się komunikacji między użytkownikami.
Do sniffingu służą narzędzia określane zbiorczym mianem snifferów. Słowo „sniffer” pisane dużą literą „S” odnosi się do chronionego znakiem towarowym, opatentowanego i komercyjnego narzędzia sieciowego istniejącego na rynku od końca lat osiemdziesiątych XX wieku. Pisane za pomocą małej litery „s” „sniffer” oznacza każde narzędzie sieciowe służące do monitorowania i gromadzenia pakietów danych przesyłanych przez sieć. Istnieją liczne sniffery, zarówno komercyjne, jak i niekomercyjne. Obecnie najszerzej stosowany jest otwartoźródłowy, niekomerycyjny Wireshark; rozwija się om dzięki wkładowi wolontariuszy ekspertów ds. sieci na całym świecie i jest kontynuacją projektu rozpoczętego przez Geralda Combsa w 1998 roku. Jest on łatwy w użyciu i wieloplatformowy (Unix, Linux, MacOS i Windows). Niektóre dystrybucje Linuksa posiadają preinstalowany Wireshark.
Istnieją dwa rodzaje sniffingu: pasywne i aktywne. W przypadku sniffingu pasywnego nie wchodzi się w interakcję z celem. Podłącza się do sieci i przechwytuje pakiety przesyłane i odbierane przez sieć lub wymieniane między dwoma komputerami. Jest to szczególnie popularny rodzaj sniffingu w sieciach opartych na koncentratorach (technologia coraz mniej popularna) lub w sieciach bezprzewodowych. Z kolei w sniffingu aktywnym wchodzi się w interakcję z maszyną docelową, wysyłając pakiety i otrzymując odpowiedzi.
Panaceum na sniffing jest szyfrowanie komunikacji, co można osiągnąć używając usługi wirtualnej sieci prywatnej (VPN). Należy jednak pamiętać, że w programach do sniffingu zaimplementowano obsługę dekryptażu niektórych protokołów.
[D. Mider]
