Az információbiztonság kegyetlen iróniája, hogy számos olyan funkció, amely a számítógépek használatát megkönnyíti vagy hatékonyabbá teszi, valamint a hálózat védelmét és védelmét szolgáló eszközöket ugyanazon számítógépek és hálózatok kiaknázására és kompromittálására is felhasználhatja. Ez a helyzet a csomagszaglással.
A hálózat-felügyelõ vagy a hálózati rendszergazda jogszerûen használhatja a csomagszûrõt , amelyet néha hálózati monitornak vagy hálózatanalizálónak neveznek. A csomagsziréma által rögzített információk felhasználásával a rendszergazda hibás csomagokat azonosít, és az adatokat felhasználja a szűk keresztmetszetek felkutatására és a hatékony hálózati adatátvitel fenntartására.
Egyszerű formában a csomagsziréma egyszerűen megragad minden adatcsomagot, amely egy adott hálózati felületen áthalad. Tipikusan a csomagsziréna csak a kérdéses gépre szánt csomagokat foglalja el. Azonban, ha szórakoztató módba kerül, a csomagsziréma képes arra, hogy az összes csomagot a rendeltetési helytől függetlenül átkeresse.
Ha a csomagsziréust a hálózaton átvészelt módban helyezi el, egy rosszindulatú betolakodó rögzítheti és elemezheti az összes hálózati forgalmat. Egy adott hálózaton belül a felhasználónév és a jelszó információi általában tiszta szövegben kerülnek továbbításra, ami azt jelenti, hogy az információt a továbbított csomagok elemzésével lehet megtekinteni.
A csomag sziréna csak az adott alhálózaton belül képes csomag-információt tárolni. Tehát nem lehetséges, hogy egy rosszindulatú támadó csomagcsomópontot helyezhessen otthoni ISP- hálózatára és rögzítse a hálózati forgalmat a vállalati hálózaton belül (bár a belső hálózatán futó többé-kevésbé "eltérítésre" szolgáló eszközök léteznek hatékonyan végrehajtani a csomag szimatolását egy távoli helyről). Ehhez a csomagsziréternek egy olyan számítógépen is futnia kell, amely a vállalati hálózaton belül is található. Ha azonban a belsõ hálózaton található egyik gép a trójai vagy más biztonsági résen keresztül veszélybe kerül, az betolakodó futtathat egy csomagszaggatót a gépbõl és felhasználhatja a rögzített felhasználónév- és jelszóadatokat a többi gép hálózaton belüli veszélyeztetése érdekében.
A veszélyes csomagszűrők észlelése a hálózaton nem könnyű feladat. Természetesen a csomag szippantása passzív. Ez egyszerűen megragadja azokat a csomagokat, amelyek a felügyelet alatt álló hálózati interfészbe utaznak. Ez azt jelenti, hogy általában nincs aláírás vagy hibás forgalom keresni, ami azonosítaná a csomagot szippantó gépet. Vannak módszerek arra, hogy azonosítsák a hálózatban lévő hálózati interfészeket, amelyek még mindig szórakoztató módban futnak, és ez lehet a rosszindulatú csomagszűrők megtalálásának eszközeként.
Ha Ön az egyik jó srác, és meg kell fenntartania és figyelemmel kell kísérnie a hálózatot, azt javasoljuk, ismerkedjen meg a hálózati monitorokkal vagy a csomagszimulátorokkal, mint például az Ethereal. Megtudhatja, hogy milyen típusú információkat lehet felismerni a rögzített adatokból, és hogyan használhatja azt a hálózat zökkenőmentes működéséhez. Ugyanakkor ne felejtse el, hogy a hálózatában lévő felhasználók esetleg csalókacsomagokat futtathatnak, vagy kísérletezhetnek a kíváncsiságból vagy rosszindulatú szándékból, és mindent meg kell tenniük, hogy megbizonyosodjanak arról, hogy ez nem történik meg.