Một chương trình nghe trộm gói tin (tiếng Anh: packet sniffer) (còn gọi là chương trình phân tích mạng, chương trình phân tích giao thức hay chương trình nghe trộm Ethernet) là một phần mềm máy tính có khả năng chặn và ghi lại giao thông dữ liệu qua một hoặc một phần của một mạng viễn thông số.[1] Khi các dòng dữ liệu di chuyển qua lại một mạng, chương trình nghe trộm bắt lấy từng gói tin rồi giải mã và phân tích nội dung của nó theo RFC hoặc các đặc tả thích hợp khác. Tùy theo cấu trúc mạng (hub hay chuyển mạch), người ta có thể nghe trộm tất cả hoặc chỉ một phần của giao thông dữ liệu từ một máy trong mạng. Đối với các mục đích giám sát mạng (network monitoring), người ta có thể muốn theo dõi tất cả các gói tin trong một mạng LAN bằng cách sử dụng một thiết bị chuyển mạch với một cái gọi là cổng theo dõi (nó lặp lại tất cả các gói tin đi qua tất cả các cổng của thiết bị chuyển mạch).
Các chương trình nghe trộm gói tin có thể được dùng để:
- Phân tích các vấn đề của mạng.
- Phát hiện các cố gắng xâm nhập mạng.
- Thu thập thông tin để tăng hiệu quả một cuộc xâm nhập mạng.
- Theo dõi sử dụng mạng.
- Thu thập và lập báo cáo thống kê mạng.
- Lọc các nội dung đáng ngờ ra khỏi giao thông mạng.
- Do thám những người sử dụng mạng khác và thu thập thông tin nhạy cảm chẳng hạn như mật khẩu (tùy theo các phương pháp mã hóa nội dụng có thể được sử dụng)
- Kỹ nghệ ngược các giao thức truyền thông được sử dụng trên mạng.
- Tìm lỗi các giao tiếp khách/chủ.
Các ví dụ sử dụng
- Một phần mềm nghe trộm gói tin cho một mạng token ring có thể phát hiện rằng token đã bị mất hoặc hiện có quá nhiều token (kiểm định giao thức).
- Một phần mềm nghe trộm gói tin có thể phát hiện các thông điệp đang được gửi tới một card mạng, nếu card mạng đó không thông báo nhận được các thông điệp đó thì tình huống này sẽ địa phương hóa hỏng hóc cho card mạng đó.
- Một phần mềm nghe trộm gói tin có thể phát hiện một cổng đang gửi quá nhiều thông điệp, từ đó phát hiện một lỗi trong cài đặt.
- Một phần mềm nghe trộm gói tin có thể thu thập thống kê về lượng giao thông (số thông điệp) từ một tiến trình và phát hiện nhu cầu về nhiều băng thông hơn hay một phương pháp tốt hơn.
- Một phần mềm nghe trộm gói tin có thể được dùng để tách các thông điệp và tái hợp chúng thành một dạng hoàn chỉnh của giao thông dữ liệu từ một tiến trình, cho phép thực hiện kỹ nghệ đảo ngược đối với tiến trình đó.
Xem thêm
Tham khảo