Sniffer paketa je uređaj ili program koji omogućuje korisniku da prisluškuje promet koji putuje između umreženih računala. Program će uhvatiti podatke koji su adresirani na druge strojeve, spremajući ih za kasniju analizu.
Sve informacije koje putuju kroz mrežu šalju se u “paketima”. Na primjer, kada se e-pošta šalje s jednog računala na drugo, najprije se razbije na manje segmente. Svaki segment ima priloženu odredišnu adresu, izvornu adresu i druge informacije kao što su broj paketa i redoslijed ponovnog sastavljanja. Nakon što stignu na odredište, zaglavlja i podnožja paketa se uklanjaju, a paketi se rekonstituiraju.
U primjeru najjednostavnije mreže u kojoj računala dijele Ethernet žicu, sve pakete koji putuju između računala “vidi” svako računalo u mreži. Čvorište emitira svaki paket svakom stroju ili čvoru na mreži, a zatim filter u svakom računalu odbacuje pakete koji nisu adresirani na njega. Njuškalo paketa onemogućuje ovaj filtar za hvatanje i analizu nekih ili svih paketa koji putuju kroz Ethernet žicu, ovisno o konfiguraciji njuškala. To se naziva “promiskuitetnim načinom rada”. Kao rezultat toga, ako gospođa Wise na računalu A pošalje e-poruku gospodinu Geeku na računalu B, softver postavljen na računalu D mogao bi pasivno uhvatiti njihove komunikacijske pakete, a da ni gospođa Wise ni gospodin Geek to ne znaju. Ovu vrstu njuškanja vrlo je teško otkriti jer ne stvara sam promet.
Malo sigurnije okruženje je komutirana Ethernet mreža. Umjesto središnjeg čvorišta koje odašilje sav promet na mreži svim strojevima, prekidač djeluje kao središnja centrala: prima pakete izravno s izvornog računala i šalje ih izravno na stroj kojem su adresirani. U ovom scenariju, ako računalo A šalje e-poruku računalu B, a računalo D je u promiskuitetnom načinu rada, i dalje neće vidjeti pakete. Neki ljudi pogrešno pretpostavljaju da se njuškalo paketa ne može koristiti na komutiranoj mreži.
Međutim, postoje načini za hakiranje protokola switch. Procedura nazvana ARP trovanje u osnovi zavarava prekidač da zamijeni stroj s njuškalom za odredišni stroj. Nakon hvatanja podataka, paketi se mogu poslati na pravo odredište. Druga tehnika je preplaviti prekidač s MAC (mrežnim) adresama tako da se prekidač zadano postavi u “failopen” način rada. U ovom načinu rada počinje se ponašati kao čvorište, prenoseći sve pakete svim strojevima kako bi se osiguralo da promet prolazi. I trovanje ARP-om i poplava MAC-a generiraju prometne potpise koji se mogu otkriti odgovarajućim softverom.
Ovi se programi također mogu koristiti na Internetu za hvatanje podataka koji putuju između računala. Internetski paketi često moraju putovati na velike udaljenosti, prolazeći kroz nekoliko usmjerivača koji djeluju kao posredni poštanski uredi. Njuškalo se može instalirati u bilo kojem trenutku na putu, a također se može tajno instalirati na poslužitelj koji djeluje kao pristupnik ili prikuplja vitalne osobne podatke.
Sniffer paketa nije samo hakerski alat. Može se koristiti za rješavanje problema s mrežom i druge korisne svrhe. U pogrešnim rukama, međutim, ovaj softver može uhvatiti osjetljive osobne podatke koji mogu dovesti do narušavanja privatnosti, krađe identiteta i drugih ozbiljnih problema.
Najbolja obrana od prisluškivanja je dobar prekršaj: šifriranje. Kada se koristi jaka enkripcija, svi paketi su nečitljivi za bilo koju adresu osim odredišne adrese. Drugi programi i dalje mogu hvatati pakete, ali sadržaj neće biti dešifriran. Ovo ilustrira zašto je tako važno koristiti sigurne stranice za slanje i primanje osobnih podataka, kao što su ime, adresa, lozinke i svakako sve informacije o kreditnoj kartici ili drugi osjetljivi podaci. Web-mjesto koje koristi enkripciju počinje s https, a e-pošta se može zaštititi šifriranjem pomoću programa, od kojih neki dolaze s dodacima za glavne programe e-pošte.