Uno sniffer di pacchetti, noto anche come analizzatore di pacchetti, analizzatore di protocollo o analizzatore di rete, è un componente hardware o software usato per monitorare il traffico di rete. Gli sniffer di pacchetti funzionano esaminando i flussi di pacchetti di dati che circolano tra i computer di una rete e tra questi e la più ampia Internet. Questi pacchetti sono destinati e indirizzati a macchine specifiche, ma l'uso di uno sniffer di pacchetti in "modalità promiscua" consente ai professionisti IT, agli utenti finali o a intrusi con cattive intenzioni di esaminare qualsiasi pacchetto, indipendentemente dalla destinazione. Gli sniffer sono configurabili in due modi. Il primo modo è "non filtrato": gli sniffer cattureranno tutti i pacchetti possibili e li scriveranno su un disco rigido locale per un successivo esame. Il secondo modo è "filtrato": gli sniffer cattureranno solo i pacchetti che contengono specifici elementi di dati.
Gli sniffer di pacchetti possono essere usati sia su reti cablate che wireless: la loro efficacia dipende da quanto sono in grado di "vedere" come risultato dei protocolli di sicurezza della rete. Su una rete cablata, gli sniffer potrebbero avere accesso ai pacchetti di ogni macchina connessa o essere limitati dalla posizione degli switch di rete. Su una rete wireless, la maggior parte degli sniffer può scansionare solo un canale alla volta, ma l'uso di più interfacce wireless può espandere questa capacità.
Prevalenza e fattori di rischio
Con uno sniffer è possibile acquisire la quasi totalità delle informazioni, ad esempio quali siti Web visita un utente, cosa viene visualizzato sul sito, il contenuto e la destinazione di qualsiasi e-mail e i dettagli di eventuali file scaricati. Analizzatori di protocollo vengono spesso usati dalle aziende per tenere traccia dell'uso della rete da parte dei dipendenti e fanno anche parte di molti pacchetti software anti-virus affidabili. Gli sniffer rivolti verso l'esterno scansionano il traffico di rete in entrata alla ricerca di specifiche righe di codice dannoso, contribuendo a prevenire infezioni da virus informatici e a limitare la diffusione di malware.
Vale la pena notare, tuttavia, che questi analizzatori possono essere usati anche per scopi dannosi. Se un utente viene convinto a scaricare allegati e-mail carichi di malware o a fare clic su file infetti in un sito Web, è possibile che uno sniffer di pacchetti non autorizzato riesca a installarsi su una rete aziendale. Una volta installato, lo sniffer di pacchetti può registrare tutti i dati trasmessi e inviarli a un server di comando e controllo (C&C) per ulteriori analisi. È quindi possibile per gli hacker tentare l'iniezione di pacchetti o attacchi man-in-the-middle, oltre a compromettere tutti i dati che non sono stati criptati prima di essere inviati.
L'uso corretto degli sniffer di pacchetti può aiutare a ripulire il traffico di rete e limitare le infezioni da malware; per proteggersi da usi dannosi, tuttavia, è necessario un software di sicurezza intelligente.
