ist eine Hard- oder Software, die dazu dient, alle Pakete eines Netzwerk-Segmentes zu überprüfen.
Damit hat ein Administrator die Möglichkeit, Probleme zu lokalisieren, wenn z. B. Performance-Probleme bestehen. Technisch gesehen wird die Netzwerkadapter in einen so genannten Promiscuous Mode (promiscous, dt.: wahllos) versetzt, der es ihr ermöglicht, alle vorbei kommenden Pakete zu lesen, zwischen zu speichern, zu analysieren und dann weiter zu schicken. Im Normalmodus ignoriert eine Netzwerkadapter Pakete, die nicht an die eigene MAC-Address gerichtet sind.
Sowohl ein Rechner mit einer solchen Netzwerkadapter als auch die dazu benötigte Software wird Sniffer genannt. Moderne Software unterstützt i. d. R. mehrere Netzwerk--Protokolle und deren Schichten, wie z. B. TCP/IP und Netware SPX/IPX sowie Ethernet, Token Ring usw.
Problematisch ist ein heimlich installierter Sniffer. Diese könnten die Pakete nach Passwörtern durch suchen, geheime oder proprietäre Informationen abfangen oder Sicherheitsmaßnahmen unterwandern. Cracker, die Passwörter herausbekommen wollen, speichern nur die ersten 200 oder 300 Bytes eines Paketes, damit das Daten-Volumen nicht zu groß wird. Da sie sich passiv verhalten, sind Sniffer nur sehr schwer zu entdecken.
Geschichte
Im Februar 1994 wurde der bisher größte Sniffer-Angriff auf das Internet aufgedeckt. Auf mehreren Hosts waren sie installiert, über die wahrscheinlich mehr als 100.000 Passwörter des Internet und Milnet gesammelt wurden.