Một sự mỉa mai tàn nhẫn trong bảo mật thông tin là nhiều tính năng giúp việc sử dụng máy tính dễ dàng hơn hoặc hiệu quả hơn và các công cụ được sử dụng để bảo vệ và bảo mật mạng cũng có thể được sử dụng để khai thác và xâm phạm cùng một máy tính và mạng. Đây là trường hợp với gói sniffing.
Một gói sniffer , đôi khi được gọi là một mạng lưới giám sát hoặc phân tích mạng, có thể được sử dụng hợp pháp bởi một mạng hoặc quản trị hệ thống để theo dõi và khắc phục sự cố lưu lượng mạng. Sử dụng thông tin được chụp bởi gói sniffer, một quản trị viên có thể xác định các gói dữ liệu sai và sử dụng dữ liệu để xác định tắc nghẽn và giúp duy trì việc truyền dữ liệu mạng hiệu quả.
Trong hình thức đơn giản của nó một gói sniffer chỉ đơn giản là nắm bắt tất cả các gói dữ liệu đi qua một giao diện mạng nhất định. Thông thường, gói sniffer sẽ chỉ nắm bắt các gói được dành cho máy đang được đề cập đến. Tuy nhiên, nếu được đặt vào chế độ promiscuous, gói sniffer cũng có khả năng chụp tất cả các gói tin đi qua mạng bất kể đích đến.
Bằng cách đặt một gói sniffer trên mạng ở chế độ promiscuous , một kẻ xâm nhập độc hại có thể nắm bắt và phân tích tất cả lưu lượng mạng. Trong một mạng nhất định, thông tin về tên người dùng và mật khẩu thường được truyền trong văn bản rõ ràng, có nghĩa là thông tin có thể xem được bằng cách phân tích các gói đang được truyền đi.
Một gói sniffer chỉ có thể nắm bắt thông tin gói trong một mạng con đã cho. Vì vậy, không thể cho kẻ tấn công độc hại đặt gói sniffer trên mạng ISP nhà của họ và lưu lượng truy cập mạng từ bên trong mạng công ty của bạn (mặc dù có nhiều cách tồn tại cho nhiều dịch vụ "chiếm quyền điều khiển" chạy trên mạng nội bộ của bạn một cách hiệu quả thực hiện gói sniffing từ một vị trí từ xa). Để làm như vậy, gói sniffer cũng cần chạy trên máy tính bên trong mạng công ty. Tuy nhiên, nếu một máy trên mạng nội bộ bị xâm nhập thông qua một Trojan hoặc các vi phạm bảo mật khác, kẻ xâm nhập có thể chạy một gói sniffer từ máy đó và sử dụng thông tin mật khẩu và tên người dùng đã capture để thỏa hiệp các máy khác trên mạng.
Phát hiện các gói sniffers lừa đảo trên mạng của bạn không phải là một nhiệm vụ dễ dàng. Bởi bản chất của nó, gói sniffer là thụ động. Nó chỉ đơn giản là nắm bắt các gói tin được đi du lịch đến giao diện mạng nó được theo dõi. Điều đó có nghĩa là nhìn chung không có lưu lượng chữ ký hoặc lỗi để tìm kiếm sẽ xác định một máy chạy trình thám thính gói. Có nhiều cách để xác định các giao diện mạng trên mạng của bạn đang chạy trong chế độ promiscuous mặc dù và điều này có thể được sử dụng như một phương tiện để xác định vị trí rogue gói sniffers.
Nếu bạn là một trong những người tốt và bạn cần phải duy trì và theo dõi một mạng, tôi khuyên bạn nên làm quen với màn hình mạng hoặc gói sniffers như Ethereal. Tìm hiểu loại thông tin nào có thể được phân biệt với dữ liệu đã thu thập và cách bạn có thể sử dụng thông tin đó để giữ cho mạng của bạn chạy trơn tru. Tuy nhiên, cũng cần lưu ý rằng người dùng trên mạng của bạn có thể đang chạy các gói lừa đảo giả mạo, hoặc thử nghiệm tò mò hoặc có mục đích xấu và bạn nên làm những gì bạn có thể để đảm bảo điều này không xảy ra.