数据包嗅探器是一种设备或程序，允许用户窃听网络计算机之间的通信。该程序将捕获发往其他机器的数据，并将其保存以供以后分析。

通过网络传输的所有信息都以“数据包”的形式发送例如，当一封电子邮件从一台计算机发送到另一台计算机时，它首先被分成更小的部分。每个段都附加了目标地址、源地址和其他信息，如数据包数量和重新组装顺序。一旦它们到达目的地，数据包的页眉和页脚就被剥离，数据包被重新构造。

在计算机共享以太网线的最简单网络示例中，网络上的每台计算机都可以“看到”在计算机之间传输的所有数据包。集线器将每个数据包广播到网络上的每台机器或节点，然后每台计算机中的过滤器丢弃未发送给它的数据包。根据嗅探器的配置，数据包嗅探器禁用此过滤器以捕获和分析通过以太网传输的部分或所有数据包。这被称为“滥交模式”因此，如果Ms。电脑上的智者A发了一封电子邮件给史密斯先生。计算机B上的极客，安装在计算机D上的软件可以被动地捕获他们的通信数据包，而无需任何Ms。智者先生。极客知道。这种类型的嗅探很难检测到，因为它本身不会产生流量。

稍微安全一点的环境是交换式以太网网络。交换机不像中央集线器那样将网络上的所有通信量广播给所有机器，而是像中央交换机一样工作：它直接从原始计算机接收数据包，并将数据包直接发送到它们所寻址的机器。在这种情况下，如果计算机A向计算机B发送电子邮件，而计算机D处于混杂模式，它仍然看不到数据包。有些人错误地认为数据包嗅探器不能在交换网络上使用。

然而，有一些方法可以破解交换协议。一个称为ARP中毒的过程基本上愚弄了交换机，用嗅探器替换目标机器。捕获数据后，可以将数据包发送到实际目的地。另一种技术是向交换机发送MAC（网络）地址，使交换机默认进入“故障开放”模式。在这种模式下，它开始表现得像一个集线器，将所有数据包传输到所有机器，以确保流量通过。ARP中毒和MAC洪泛都会产生流量特征，可以通过正确的软件检测到。

这些程序也可以在互联网上用来捕获在计算机之间传输的数据。互联网数据包通常有很长的传输距离，通过几个像中间邮局一样的路由器。嗅探器可以安装在沿途的任何地方，也可以秘密安装在充当网关或收集重要个人信息的服务器上。

数据包嗅探器不仅仅是黑客的工具。它可以用于网络故障排除和其他有用的目的。然而，在坏人手中，该软件可以捕获敏感的个人信息，从而导致侵犯隐私、身份盗窃和其他严重问题。

防止窃听的最佳防御措施是良好的攻击：加密。当使用强加密时，除了目标地址之外，所有数据包都无法读取。其他程序仍然可以捕获数据包，但内容将无法识别。这说明了为什么使用安全站点发送和接收个人信息（如姓名、地址、密码，当然还有任何信用卡信息或其他敏感数据）如此重要。使用加密的网站从https开始，电子邮件可以通过使用程序加密而变得安全，其中一些程序附带了用于主要电子邮件程序的插件。