Снифферы - это программы, которые перехватывают весь сетевой трафик. Снифферы полезны для диагностики сети и для перехвата паролей. Например если ты получил доступ к одной сетевой машине и установил там сниффер, то скоро все пароли от их подсети будут твои. Снифферы ставят сетевую карту в прослушивающий режим (PROMISC).То есть они получают все пакеты. В локальной сети можно перехватывать все отправляемые пакеты со всех машин (если вы не разделены всякими хабами), так как там практикуется широковещание. Снифферы могут перехватывать все пакеты (что очень неудобно, ужасно быстро переполняется лог файл, но для более детального анализа сети как раз подходит) или только первые байты от всяких ftp,telnet,pop3 и т.д. Снифферов сейчас очень много... Снифферы есть как на windows, так и на Unix. Снифферы могут поддерживать только определенную ось, либо несколько. Снифферы так разжились из-за того, что пароли передаются по сети открытым текстом. Таких служб уйма. Это telnet, ftp, pop3, www и т.д. Этими службами пользуется уйма народу. После бума снифферов начали появляться различные алгоритмы шифрования этих протоколов. Появился SSH (альтернатива telnet, поддерживающий шифрование), SSL(Secure Socket Layer - разработка Netscape, способная зашифровать www сеанс). Появились всякие Kerberous, VPN(Virtual Private Network). Заюзались некие AntiSniff"ы, ifstatus"ы и т.д. Но это в корне не изменило положения. Службы, которые используют передачу пароля plain text"ом используются во всю. Поэтому сниффать еще долго будут.

Если сниффер запускается на машине, то он переводит сетевой интерфейс в promiscuous mode ( смешанный режим ), при котором машина принимает все пакеты, передаваемые по сети. Также есть возможность запустить sniffer в режиме non-promiscuous, но тогда будет возможность перехватывать соединиения только с той машиной, на которой он запущен.
В открытом виде пароли передаются по сети в реализация протоколов TCP/IP:

Telnet (23 port)
Pop3 (110 port)
Ftp (21 port)
Pop2 (109 port)
Imap2 (143 port)
Rlogin (513 port)
Poppasswd (106 port)
netbios (139 port)
icq (1024-2000 UDP)

Соответственно лог-файл сниффера выглядит следующим образом :
[Starting sniffing .......]

victim.net.ru => pop3.net.ru [110]

USER victim

PASS PaSsWorD

STAT

QUIT

----- [RST]

10.0.0.19 => 10.0.0.1 [23]

% #’$ANSI!root

r00t9xZx

-----+ [Timed Out]
Если наглядно показать администратору или пользователю, насколько просто перехватывать их brute-force-stable пароли, передаваемые через незащищенные сервисы и каналы связи, то это будет более эффективным, чем тысячу раз убеждать их в необходимости использования crypto- средств.
Как опpеделить компьютер с pаботающим в сети сниффеpом

Так как это пассивное устройство, в общем случае обнаружить его тяжело ( ничего в сеть не шлет, только слушает. ) Однако если впадать в конкретику, то если предполагаемый сниффер стоит под Linux, то это можно обнаружить ( линукс не совсем корректно работает в promiscuous mode.)
[bugtraq]

в шелле наберите команды

$ arp -s suspecthost 00:de:ad:c0:ff:ee

$ ping suspecthost

Если вы получите ответ , тогда

это linux, находящийся в

promiscuous режиме

Не забудьте очистить ложный MAC address.

$ arp -d suspecthost
Проверка работы сетевого устройства в режиме promiscuous в локальном режиме

Во многих Unix системах есть команда “ifconfig -a”, или аналогичная ( в которой необходимо указать конкретный интерфейс, узнаваемый командой “netstat -r” ) которая сообщает вам информацию обо всех сетевых интерфейсах, и о их состоянии.
Информация выглядит следующим образом:

#ifconfig le0
le0: flags=8863inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1
Однако следует принять во внимание, что хакеры часто подменяют системные команды, например ifconfig, чтобы избежать обнаружения, поэтому следует проверить контрольную сумму файла либо заменить binary версию на заведомо надежную с дистрибутива.
Для проверки интерфейсов на SunOS/BSD можно использовать утилиту cmp
Для системы Ultrix обнаружение запущенного sniffer’a возможно с помощью команд pfstat ( кто может его запустить ) и pfconfig ( проверить интерфейс на promiscuous mode.)
Методы предотвращения перехвата информации
1) Хороший, но недешевый выход - пользоваться активными интеллектуальными хабами.
(они посылают каждой системе только те пакеты, которые ей непосредственно и предназначены ). Эффективны для Ethernet типа 10-Base T.

2) Метод, который не позволит начинающим хакерам запустить sniffer : перекомпилирование ядра систем Unix, которые стоят в сети, без поддержки BPF
(Packet Filter support).

3) Полная шифровка трафика

4) Использования системы KERBEROS для создания защищенного соединения

5) Реализации протокола SSH для сеансов TCP соединений ( представлен программой F-secure-SSH)

6 ) Технологии одноразовых паролей SKEY