A Sniffer egy forgalomelemző, amely képes más csomópontok számára szánt információk elfogására. A szippantók rövid ideig információkat gyűjthetnek, vagy több bájt csomagot vagy akár egy teljes munkamenetet is megragadhatnak.
A szippantó vagy forgalomelemző egy speciális program, amely képes elfogni és / vagy elemezni a többi csomópont számára szánt hálózati forgalmat. Mint tudják, az információk rácson keresztül történő továbbítása csomagokban történik - a felhasználó gépétől a távoli gépig, tehát ha egy szippantót telepít egy köztes számítógépre, akkor az elhaladó csomagokat rögzít, mielőtt azok elérnék a célt.
Az egyik szippantó munkája jelentősen eltérhet a másik munkájától. A standard csomag a felhasználó PC-jéről, majd a hálózat minden egyes számítógépén keresztül kezdi meg a mozgását, áthaladva a „szomszédos számítógépen”, a „szippantóval felszerelt számítógépen” és a „távoli számítógépen” végződve. Egy közönséges gép nem figyel egy olyan csomagra, amelyet nem az IP-címére szánnak, a szippantóval ellátott gép pedig figyelmen kívül hagyja ezeket a szabályokat és elfog minden olyan csomagot, amely a „tevékenységi területén” van. A szippantás megegyezik a hálózati elemzővel, de a biztonsági cégek és a szövetségi kormány inkább egy szót használ rá.
Passzív támadás
A hackerek mindenhol ezt az eszközt használják az elküldött információk figyelésére, és ez nem más, mint passzív támadás. Vagyis nincs közvetlen behatolás valaki más hálózatába vagy számítógépébe, de lehetőség van a kívánt információk és jelszavak megszerzésére. A távoli tárhely-puffer túlcsordulásával és a hálózati áradásokkal járó aktív támadástól eltérően a passzív szippantási támadás nem észlelhető. Tevékenységének nyomait sehol sem rögzítik. Ennek ellenére cselekedeteinek jellege nem hagy teret a kétértelműségnek.
Ez az eszköz lehetővé teszi, hogy bármilyen típusú, a hálózaton továbbított információt fogadjon: jelszavakat, e-mail címeket, bizalmas dokumentumokat stb. Sőt, minél közelebb van telepítve a szippantó a gazdagéphez, annál több lehetősége van titkos információk megszerzésére.
Szippantótípusok
Leggyakrabban olyan eszközöket használnak, amelyek rövid távú információs mintavételt végeznek, és kis hálózatokban működnek. A helyzet az, hogy a csomagok folyamatos ellenőrzésére képes szippantó sok CPU-energiát emészt fel, ami miatt az eszköz felismerhető. Nagy hálózatokban a nagy adatátviteli protokollokon működő szippantók akár 10 MB-ot is képesek létrehozni naponta, ha fel vannak szerelve az összes beszélgetési forgalom regisztrálásával. És ha a leveleket is feldolgozzák, akkor a mennyiség még nagyobb lehet. Van egy olyan szippantó is, amely csak a csomag első néhány bájtját írja meg annak érdekében, hogy felhasználónév és jelszó elfogjon. Egyes eszközök eltérítik az egész munkamenetet, és kiütik a kulcsot. A szippantó típusát a rács képességeitől és a hacker vágyaitól függően választják ki.