Sniffer
Ein Sniffer (engl. „to sniff“ für riechen, schnüffeln) ist eine Software, die den Datenverkehr eines Netzwerks empfangen, aufzeichnen, darstellen und ggf. auswerten kann. Es handelt sich also um ein Werkzeug der LAN-Analyse.
Herkunft des Begriffs
„Sniffer“ ist ein eingetragenes Warenzeichen des Herstellers Network General. Es bezeichnet ein Produkt der sogenannten LAN-Analyse. Da dieses Produkt als eines der ersten auf dem Markt war, und da sein Name so eingängig ist, hat sich der Name Sniffer allgemein durchgesetzt zur Bezeichnung vielfältigster Produkte der LAN-Analyse, ist also inzwischen auch als Gattungs-Begriff gebräuchlich.
Technik
Ein Sniffer kennt den so genannten „Non-promiscuous mode“ und den Promiscuous Mode. Im Non-promiscuous mode wird der ankommende und abgehende Datenverkehr des eigenen Computers gesnifft. Im Promiscuous Mode sammelt der Sniffer den gesamten Datenverkehr an die in diesen Modus geschaltete Netzwerkschnittstelle. Es werden also nicht nur die an ihn adressierten Datenframes empfangen, sondern auch die nicht an ihn adressierten. Der Adressat eines Frames wird in Ethernet-Netzwerken anhand der MAC-Adresse festgelegt.
Weiterhin ist es von der Netzwerkstruktur abhängig, welche Daten ein Sniffer sehen kann. Werden die Computer mit Hubs verbunden, kann sämtlicher Traffic von den anderen Hosts mitgeschnitten werden. Wird ein Switch verwendet, ist nur wenig oder gar kein Datenverkehr zu sehen, der nicht für das sniffende System selbst bestimmt ist. Allerdings gibt es in diesem Fall mehrere Möglichkeiten wie ARP-Spoofing, ICMP Redirects, DHCP Spoofing oder MAC-Flooding, um trotzdem die Frames empfangen zu können. Ein Switch darf also nicht als Sicherheitsfeature gesehen werden.