Une autre technique utilisée pour collecter des informations (mots de passe par exemple) est l'utilisation d'un sniffer. Le sniffer place la carte réseau dans le mode transparent (promiscious), ce qui veut dire que la carte intercepte tous les paquets sur le segment réseau, même ceux qui ne lui sont pas destinés.
Plusieurs types de sniffers existent ; certains affichent les données interceptées brutes comme Tcpdumpdisponible sur www.tcpdump.org, ce qui donne lieu à des fichiers de log très volumineux. D'autres sniffers permettent de récupérer les mots de passe en les affichant directement à l'écran associé avec le login, l'adresse du client et celle du serveur (comme dsniffdisponible sur www.packetstormsecurity.org).
Wiresharkdisponible à l'adresse http://www.wireshark.org/ permet par exemple d'afficher toutes les transactions en cours sur le réseau.
Cependant, le sniffer reste un outil puissant pour la détection d'intrusion car, premièrement, il garde une trace de tous les échanges ayant cours sur le réseau. Deuxièmement, il se révèle très utile pour démasquer un scan (un grand nombre de paquets envoyés d'un seul coup), de tracer l'adresse d'un pirate, de voir si des commandes particulières sont demandées sur le reseau.
La plupart des rootkits contiennent un programme pour sniffer.
Les NDIS utilisent un sniffer pour analyser les transactions réseau.
Là, c'est très difficile. Un sniffer est passif, il n'envoie aucun paquet, il ne fait qu'intercepter. Mais la carte réseau étant en mode transparent, son comportement s'en trouve changé, son temps et sa façon de répondre à certains paquets sont modifiés. On peut détecter la présence d'un sniffer grâce à ce changement de comportement. Le programme AntiSniffdisponible sur windows NT et Linux à l'adresse http://packetstormsecurity.org/sniffers/antisniff/ de Lopht Heavy Industries peut envoyer des paquets "tests" et en déduire si la carte est en mode transparent donc susceptible de sniffer.
Une deuxième parade pour déjouer le sniffing est de "tunneler" toutes les transactions. Cela veut dire chiffrer toutes les transactions réseaux. Utiliser IPSec ou des VPN, ssh sur votre réseau s'avère être une défense efficace contre le sniffing.
L'utilisation de tunnels est traitée dans la Section 4.4, « Le tunneling ».