Sniffers ou farejadores são softwares muito úteis. Tão grande é a utilidade deles, que até os sistemas de IDS (como o Snort) são feitos com base em sniffers. Um sniffer é um programa que consegue capturar todo o tráfego que passa em um segmento de uma rede. Para tornar mais fácil o entendimento, observe a imagem abaixo:



Quando ligamos computador no HUB, e enviamos informação de um computador para o outro, na realidade esses dados vão para todas as portas do HUB, e conseqüentemente para todas as máquinas. Acontece que só a máquina na qual a informação foi destinada enviará para o sistema operacional.

Se um sniffer estivesse rodando nos outros computadores, mesmo sem esses sistemas enviarem a informação que trafega ali para o sistema operacional, o farejador intercederá na camada de rede, capturando os dados e mostrando-os para o usuário, de forma pouco amigável. Geralmente os dados são organizados por tipos de protocolo (TCP, UDP, FTP, ICMP, etc...) e cada pacote mostrado pode ter seu conteúdo lido. Uma típica tela de sniffer seria a mostrada abaixo:



A informação lida é mostrada em duas colunas: uma em hexadecimal, e outra em texto puro (ascii), como é visto na imagem acima. Após entender como ele funciona, qual seria a utilidade do sniffer?

Muitas. Mas principalmente na captura de senhas, afinal, qualquer senha não-criptografada (como exemplo senhas de webmail como bol, yahoo, etc...) que foi digitada em qualquer computador da rede, será capturada pelo sniffer.

Claro que se a rede estiver segmentada por um switch, o sniffing básico não vai mais funcionar. Aí teríamos que nos utilizarmos de uma técnica chamada de ARP POISONING, capaz de envenenar o ARP de vários equipamentos e incluir entradas falsificadas. Mas isso nós veremos em uma próxima coluna.

Observação: Não é possível utilizar um sniffer com modems, apenas com placas de rede (comuns ou wireless). E também não é possível fazer o farejamento de redes remotas, sem algum programa instalado para realizar essa ?ponte?, como um backdoor.