Sniffing im Netzwerk
Wenn es darum geht, den Datenverkehr des lokalen Rechners zu überwachen, ist das einfach. Der Capture Treiber des Sniffers muss sich lediglich in den Treiber der NIC des Hosts einklinken. Um den Traffic im gesamten Ethernet-Segment zu analysieren, müssen einige zusätzliche Vorkehrungen getroffen werden. Ethernet ist von der Grundidee her ein Shared Medium. Das heißt unter anderm auch, dass alle Pakete an alle Stationen gesendet werden. Damit nun nicht die einzelnen Rechner ständig damit beschäftigt sind, die für sie bestimmten Pakete herauszusuchen, ist bereits in der NIC ein Filter eingebaut. Dieser leitet nur Pakete, die an seine MAC gerichtet, oder die Broad- Multicastpakete sind weiter.
Laut denen von Intel und Mcrosoft herausgegebenem PC99-Standard sollten Netzwerkkarten den Promiscous Mode unterstützen. Damit kann der Capture Driver die Karte anweisen alle Netzwerkpakete zu empfangen und an den Treiber weiterzuleiten. Damit ist es möglich ein Netzwerksegment zu überwachen.
Sniffing im geswitchten LAN
Mit der zunehmenden Verbreitung von Switchen wird das alleridngs erschwert, denn Switches sorgen ja dafür, dass Netzwerkpakete nur noch dediziert an den tatsächlichen Empfänger gesendet werden. Das erreichen diese Geräte, indem sie sich merken, an welchem Port welche MAC-Adresse zu finden ist. Demzufolge sieht die NIC im Promiscous Mode nur noch Broadcast und an sie gerichtete Pakete. Das verhindert natürlich eine effektive Fehleranalyse per Sniffing.
Profesionelle Switches unterstützen deshalb Port-Mirroring. Dabei wird der Datenverkehr eines Ports auf einen anderen gespiegelt. An diesem Port wird der Sniffer eingesetzt. Bei Switches ohne Portmirroring muss man zu dem unfeinen Mittel Switch-Jamming greifen. Dabei schickt man dem Switch eine Vielzahl an Paketen mit verschiedenen MAC-Adressen, bis der interne Speicher dfür die Verwaltung überläuft. Die meisten Switches schalten in diesem Fall um und verhalten sich dann wie ein Hub, senden also alle Pakete an alle Ports. Genau darin liegt anderseits der Nachteil dieses Verfahrens: Während der Analyse degradiert man den Switch zu einem Hub und verliert damit alle Performance-Vorteile.