Ein Packet Sniffer oder Paketschnüffler – auch Paket-, Protokoll- oder Netzwerk-Analyzer genannt – ist eine Hardware oder Software, die eingesetzt wird, um den über ein Netzwerk laufenden Datenverkehr zu untersuchen. Sniffer beobachten die Datenpakete, die zwischen Computern in einem Netzwerk oder zwischen vernetzten Computern und dem Internet als Ganzes ausgetauscht werden. Diese Pakete sind zwar für bestimmte Rechner bestimmt und entsprechend adressiert, aber mithilfe eines Paketschnüfflers im „Promiscuous-Modus“ können IT-Fachleute, Endbenutzer oder schädliche Eindringlinge, jedes Paket unabhängig vom Ziel inspizieren. Man unterscheidet zwei Sniffer-Konfigurationen. Die erste ist die „ungefilterte“, d. h. es werden alle möglichen Pakete erfasst und zur späteren Überprüfung auf eine lokale Festplatte geschrieben. Der zweite Modus ist der „gefilterte“, d. h. die Schnüffler greifen nur auf Pakete zu, wenn sie bestimmte Datenelemente enthalten.
Paketschnüffler können sowohl in kabelgebundenen als auch in drahtlosen Netzen eingesetzt werden. Ihre Wirksamkeit hängt davon ab, wie viel „Einblick“ ihnen die vorhandenen Netzsicherheitsprotokolle geben. In einem kabelgebundenen Netzwerk können Sniffer entweder auf die Pakete jedes angeschlossenen Geräts zugreifen oder ihr Zugriff ist durch Netzwerk-Switches eingeschränkt. In einem drahtlosen Netzwerk können die meisten Sniffer nur einen Kanal zur Zeit untersuchen, können diese Fähigkeit jedoch mithilfe mehrerer drahtloser Schnittstellen ausweiten.
Vorkommen und Risikofaktoren
Mit einem Sniffer lassen sich nahezu alle Informationen erfassen, z. B. welche Websites ein Nutzer besucht, was er sich dort ansieht, den Inhalt und das Ziel einer E-Mail sowie Details von heruntergeladenen Dateien. Protokoll-Analyzer werden häufig von Unternehmen eingesetzt, um die Netzwerknutzung ihrer Mitarbeiter zu überwachen, und sind auch Bestandteil vieler seriöser Antiviren-Softwarepakete. Nach außen gerichtete Schnüffler untersuchen eingehenden Netzwerkverkehr auf bestimmte Elemente von Schadcode: und helfen so, Infektionen mit Computerviren und die Verbreitung von Malware zu verhindern.
Die Kehrseite ist, dass solche Analyzer auch für schädliche Zwecke eingesetzt werden können. Wird ein Nutzer erfolgreich dazu verleitet, mit Malware verseuchte E-Mail-Anhänge oder infizierte Dateien von einer Website herunterzuladen, kann auch ein nicht autorisierter Packet Sniffer in einem Unternehmensnetzwerk installiert werden. Einmal installiert, kann er alle übertragenen Daten kopieren und zur weiteren Analyse an einen Command-and-Control-Server (C&C) senden. Anschließen können Hacker versuchen, Pakete einzuschleusen oder Man-in-the-Middle-Angriffe durchzuführen und Daten abzugreifen, die unverschlüsselt versendet werden.
Seriös eingesetzt, können Paketschnüffler helfen, den Netzwerkverkehr zu bereinigen und Malware-Infektionen abzuwehren; vor ihrem schädlichem Einsatz schützt eine intelligente Sicherheitssoftware.
