Sniffer paketov je naprava ali program, ki uporabniku omogoča prisluškovanje prometu, ki potuje med omrežnimi računalniki. Program bo zajel podatke, ki so naslovljeni na druge stroje, in jih shranil za kasnejšo analizo.
Vse informacije, ki potujejo po omrežju, se pošljejo v »paketjih«. Na primer, ko je e-poštno sporočilo poslano iz enega računalnika v drugega, je najprej razdeljeno na manjše segmente. Vsak segment ima priložen ciljni naslov, izvorni naslov in druge informacije, kot je število paketov in vrstni red ponovnega sestavljanja. Ko prispejo na cilj, se glave in noge paketa odstranijo in paketi se ponovno sestavijo.
V primeru najpreprostejšega omrežja, kjer si računalniki delijo žico Ethernet, vse pakete, ki potujejo med računalniki, “vidi” vsak računalnik v omrežju. Središče oddaja vsak paket vsakemu stroju ali vozlišču v omrežju, nato filter v vsakem računalniku zavrže pakete, ki niso naslovljeni nanj. Vohljalnik paketov onemogoči ta filter, da zajame in analizira nekatere ali vse pakete, ki potujejo skozi ethernetno žico, odvisno od konfiguracije vohača. To se imenuje “promiskuitetni način”. Posledično, če gospa Wise iz računalnika A pošlje e-pošto g. Geeku na računalniku B, lahko programska oprema, ki je nastavljena na računalniku D, pasivno zajame njihove komunikacijske pakete, ne da bi niti gospa Wise niti gospod Geek vedela. To vrsto vohanja je zelo težko zaznati, ker ne ustvarja samega prometa.
Nekoliko varnejše okolje je preklopno omrežje Ethernet. Namesto osrednjega vozlišča, ki oddaja ves promet v omrežju vsem strojem, stikalo deluje kot centralna stikalna plošča: pakete prejme neposredno iz izvornega računalnika in jih pošlje neposredno napravi, na katero so naslovljeni. V tem scenariju, če računalnik A pošlje e-pošto računalniku B in je računalnik D v promiskuitetnem načinu, še vedno ne bo videl paketov. Nekateri ljudje zmotno domnevajo, da ni mogoče uporabiti vohunjenja paketov v komutiranem omrežju.
Vendar obstajajo načini za vdor v protokol stikala. Postopek, imenovan ARP zastrupitev, v bistvu zavede stikalo, da zamenja stroj z vohačem za ciljni stroj. Po zajemu podatkov se lahko paketi pošljejo na pravi cilj. Druga tehnika je, da preplavite stikalo z naslovi MAC (omrežne) tako, da se stikalo privzeto preklopi v način “failopen”. V tem načinu se začne obnašati kot vozlišče, ki prenaša vse pakete na vse stroje, da zagotovi, da promet pride skozi. Tako zastrupitev ARP kot poplava MAC ustvarjata prometne podpise, ki jih je mogoče zaznati s pravo programsko opremo.
Te programe je mogoče uporabiti tudi na internetu za zajemanje podatkov, ki potujejo med računalniki. Internetni paketi imajo pogosto zelo velike razdalje za potovanje, saj gredo skozi več usmerjevalnikov, ki delujejo kot vmesne pošte. Sniffer se lahko namesti na kateri koli točki na poti, prav tako pa se lahko prikrito namesti na strežnik, ki deluje kot prehod ali zbira pomembne osebne podatke.
Sniffer paketov ni samo hekersko orodje. Uporablja se lahko za odpravljanje težav z omrežjem in druge uporabne namene. V napačnih rokah pa lahko ta programska oprema zajame občutljive osebne podatke, ki lahko povzročijo vdor v zasebnost, krajo identitete in druge resne težave.
Najboljša obramba pred prisluškovanjem je dober prekršek: šifriranje. Ko se uporablja močno šifriranje, so vsi paketi neberljivi na noben drug naslov razen na ciljni naslov. Drugi programi lahko še vedno zajamejo pakete, vendar vsebine ne bo mogoče razbrati. To ponazarja, zakaj je tako pomembno uporabljati varna spletna mesta za pošiljanje in prejemanje osebnih podatkov, kot so ime, naslov, gesla in zagotovo vsi podatki o kreditni kartici ali drugi občutljivi podatki. Spletno mesto, ki uporablja šifriranje, se začne s https, e-pošto pa je mogoče zaščititi s šifriranjem s programom, od katerih so nekateri priloženi vtičniki za glavne e-poštne programe.