Packet sniffer
Een packet sniffer, of packet analyzer is een computerprogramma waarmee het dataverkeer op een netwerk of netwerksegment kan worden bekeken en geanalyseerd.
De term
De term Sniffer is een geregistreerd handelsmerk van de firma Netscout die in april 2008 Network General overnam. Network General heeft in 1986 een product op de markt gezet genaamd Sniffer. Deze naam is door de jaren heen veranderd in een algemeen begrip voor een programma voor netwerkanalyse.
Werking
Computergegevens die over een IP-netwerk verstuurd worden, reizen door dat netwerk in de vorm van pakketjes. Elke computer in een netwerk heeft een uniek adres, IP-adres geheten. Pakketjes met gegevens worden geadresseerd, zodat het pakketje gerouted kan worden naar de juiste bestemming(en). Ook bevat een pakket het adres van de computer die het verstuurd heeft.
Als een computer tussen het versturende en ontvangende systeem uitgerust is met een packet sniffer kunnen alle pakketten gelezen worden. Andere systemen zullen hier niks van merken, de packet sniffer luistert alleen maar mee. De binnenkomende pakketjes slaat de packet sniffer vaak op in een bestand, zodat het bekijken en analyseren ervan mogelijk wordt. Packet sniffers bieden hier vaak uitgebreide mogelijkheden voor.
Gebruik
Packet sniffers kunnen onder meer antwoord geven op vragen als:
- Wanneer loopt er dataverkeer door het netwerk?
- Om wat voor dataverkeer gaat het? Verschillende internetdiensten gebruiken verschillende soorten pakketten, zoals HTTP voor het surfen over het internet, SMTP voor de e-mail en weer andere voor toepassingen zoals VoIP, Kazaa, enzovoorts. Een goede 'packet analyzer' kan zeer veel soorten pakketten uit elkaar houden en op een goed leesbare manier tonen.
- Waar komt het dataverkeer vandaan?
- Waar gaat het naartoe?
- Wat is de inhoud van het dataverkeer? Is het versleuteld of kan de data langs de gehele route worden meegelezen?
- Welk systeem veroorzaakt de vertraging in het netwerkverkeer?
- Waardoor wordt de traagheid van een applicatie veroorzaakt?
Het gebruik van 'packet sniffers' is (in Nederland) niet illegaal. Het gebruik ervan is zeker niet voorbehouden aan hackers of crackers; ook voor systeembeheerders en in het forensisch onderzoek vormen 'packet sniffers' een waardevol gereedschap.
Technisch
Normaal worden pakketjes genegeerd door de netwerkkaart als de adressering niet klopt met het eigen MAC-adres. Een packet sniffer kan dit gedrag veranderen, door de netwerkkaart in promiscuous mode te zetten. In deze modus accepteert de netwerkkaart ook langskomende pakketjes die niet voor het eigen MAC-adres bedoeld zijn.
Gevaar/beveiliging
Omdat men met een packet sniffer alle gegevens in de pakketjes kan lezen zonder dat de verzender en ontvanger hier weet van hebben, bestaat het gevaar dat gevoelige informatie in verkeerde handen valt. Om deze reden is het niet veilig om creditcardnummers, wachtwoorden of andere gevoelige gegevens over het internet te versturen, wanneer de pakketjes niet versleuteld worden of als daarover twijfel bestaat. Op het internet is een beveiligde site te herkennen aan het protocol HTTPS (boven in de browser begint het adres dan met https:// in plaats van http://). De communicatie tussen de browser en de server wordt dan versleuteld verstuurd.
Om e-mail op een veilige manier te versturen moet deze versleuteld worden met bijvoorbeeld PGP. Normale e-mail pakketten zijn letterlijk te lezen met behulp van een packet sniffer.