Em rede de computadores, um analisador de pacotes (também conhecido como sniffer de pacotes, em português, farejador de pacotes) é um programa de computador ou hardware que pode interceptar e registrar tráfego que passa sobre uma rede digital ou parte de uma rede. Captura de pacotes é o processo de interceptação e registro de tráfego. Como fluxos de dados trafegam por meio de uma rede, o sniffer captura cada pacote e, se necessário, decodifica os dados brutos do pacote, mostrando os valores de vários campos no pacote, e analisa seus conteúdos de acordo com a RFC ou outras especificações apropriadas.[1]
Um analisador de pacotes usado para interceptação de tráfego em redes sem fio (wireless) é conhecido como um analisador sem fio ou analisador WiFi. Um analisador de pacotes também pode ser chamado de analisador de rede ou analisador de protocolos, apesar destes termos também possuírem outros significados.
Capacidades
Em LANs de transmissão cabeadas, como Ethernet, Token Ring e redes FDDI, dependendo da estrutura da rede (hub ou comutador), pode-se capturar tráfego em toda ou parte da rede a partir de uma única máquina na rede. No entanto, alguns métodos evitam limitação de tráfego pelos comutadores para ganhar acesso ao tráfego a partir de outros sistemas na rede (por exemplo, ARP spoofing). Para propósitos de monitoramento de rede, também pode ser desejável monitorar todos os pacotes de dados em uma LAN usando um comutador de rede com uma, assim chamada, porta de monitoramento que espelha todos os pacotes que passam através de todas as portas do comutador quando os sistemas estão conectados a uma porta do comutador.
Usos
O sniffing pode ser utilizado tanto para propósitos maliciosos como também para o gerenciamento de rede, monitoramento e diagnóstico de ambientes computacionais. Invasores podem tentar capturar o tráfego da rede com diversos objetivos, dentre os quais podem ser citados, obter cópias de arquivos importantes durante sua transmissão, e obter senhas que permitam estender o seu raio de penetração em um ambiente invadido ou ver as conversações em tempo real.[1]
Port mirror – port spam – port monitor
Esta opção é desejável se o administrador da rede pretende conectar um analisador de protocolo diretamente à uma porta do switch, e monitorar o tráfego de outras portas do equipamento. Deve-se definir uma porta que será monitorada (port mirror) e o seu espelho, que é a porta onde o analisador de protocolo será conectado. Uma vez que esta funcionalidade for ativada, todo o tráfego oriundo ou destinado à porta monitorada será espelhado na porta espelho. O espelhamento de tráfego torna-se necessário se o administrador de rede não quiser monitorar o tráfego de um determinado segmento, sem modificar as características físicas do segmento monitorado, ao se conectar um analisador de protocolo ao segmento.[1]
Analisador de protocolos – wireless
Existem diversos analisadores de protocolo que funcionam em conexões wireless. Algumas alterações nas configurações do analisador de protocolo em uso, talvez devam ser realizadas, como a habilitação da opção de captura em modo de monitoração, pois o modo promíscuo pode não ser suficiente. A captura ocorrerá da mesma maneira que ocorreria se estivesse numa conexão cabeada. O que pode ocorrer é alguma restrição do próprio sistema operacional que se está utilizando, bem como da interface de rede 802.11. A limitação de alguns sistemas operacionais é a de não capturar pacotes que não sejam de dados, o que ocorre também com alguns drivers dos adaptadores de rede.[1]
É importante mencionar que o fato de uma interface de rede estar executando em modo de monitoração, nem sempre a habilitará a funcionar como uma interface de rede comum, pois ela estará capturando os pacotes em modo passivo. Com isso, as tentativas de resolução de nomes através de um servidor DNS, por exemplo, provavelmente estarão bloqueadas, pois o equipamento não estará habilitado para se comunicar com qualquer DNS server.[1]