É unha cruel ironía na seguridade da información que moitas das características que fan que o uso das computadoras sexa máis sinxelo ou máis eficiente e que as ferramentas utilizadas para protexer e protexer a rede tamén se poidan usar para explotar e comprometer as mesmas computadoras e redes. Este é o caso co olfato de paquetes.
Un sniffer de paquetes , ás veces referido como un monitor de rede ou un analizador de rede, pode ser usado legítimamente por unha rede ou administrador do sistema para monitorear e solucionar problemas de tráfico de rede. Usando a información capturada polo sniffer de paquetes, un administrador pode identificar paquetes erróneos e usar os datos para identificar cofres de botella e axudar a manter unha transmisión de datos de rede eficiente.
Na súa forma simple un paquete de sniffer simplemente captura todos os paquetes de datos que pasan por unha determinada interface de rede. Normalmente, o paquete sniffer só capturará paquetes destinados á máquina en cuestión. Non obstante, se se coloca nun modo promiscuo, o paquete sniffer tamén é capaz de capturar todos os paquetes que atravesan a rede independentemente do destino.
Ao colocar un paquete de sniffer nunha rede de forma promiscuo , un intruso malicioso pode capturar e analizar todo o tráfico da rede. Dentro dunha determinada rede, a información de nome de usuario e contrasinal xeralmente transmítese en texto claro, o que significa que a información sería visíbel analizando os paquetes que se están a transmitir.
Un sniffer de paquetes só pode capturar información de paquetes dentro dunha subred determinada. Polo tanto, non é posíbel que un atacante malicioso poña un paquete de sniffer na rede doméstica ISP e capture o tráfico da rede desde a súa rede corporativa (aínda que existen formas que existen para máis ou menos servizos de "secuestro" que se executan na súa rede interna para efectivamente realizar o olfato de paquetes desde un lugar remoto). Para facelo, o sniffer de paquetes tamén debe estar funcionando nunha computadora que está dentro da rede corporativa. Non obstante, se unha máquina na rede interna se compromete a través dunha infracción de seguridade de Troia ou outro tipo de seguridade, o intruso pode executar un paquete de sniffer desde esa máquina e usar a información de usuario e contrasinal capturados para comprometer outras máquinas na rede.
Detectar paquetes pirata na súa rede non é unha tarefa fácil. Pola súa natureza, o paquete de sniffer é pasivo. Simplemente captura os paquetes que viaxan á interface de rede que está a supervisar. Isto significa que xeralmente non hai sinatura ou tráfico erróneo para buscar que identifique unha máquina que executa un sniffer de paquetes. Hai formas de identificar as interfaces de rede da súa rede que se executan en modo promiscuo aínda e isto podería usarse como un medio para localizar os piratas informáticos.
Se es un dos mozos bos e necesitas manter e monitorizar unha rede, recoméndovos familiarizarte cos monitores de rede ou con paquetes como Ethereal. Aprende o tipo de información que se pode distinguir dos datos capturados e de como pode usalo para manter a súa rede sen problemas. Non obstante, tamén teña en conta que os usuarios da súa rede poden estar executando sniffers de paquetes falsos, xa sexa experimentando con curiosidade ou con intencións maliciosas e que debería facer o que pode para asegurarse de que isto non suceda.