Принцип работы анализатора трафика (сниффера) заключается в следующем: 13

1. Перехват трафика. 1 Сниффер может анализировать только то, что проходит через его сетевую карту. 1 Для перехвата всех пакетов, проходящих через сетевой адаптер, драйвер адаптера должен поддерживать режим функционирования promiscuous mode (беспорядочный режим). 3 Этот режим автоматически активизируется при запуске сниффера или устанавливается вручную соответствующими настройками сниффера. 3
2. Передача перехваченного трафика декодеру пакетов. 3 Декодер идентифицирует и расщепляет пакеты по соответствующим уровням иерархии. 3
3. Анализ данных. 3 В зависимости от возможностей конкретного сниффера представленная информация о пакетах может впоследствии дополнительно анализироваться и отфильтровываться. 3

Анализ прошедшего через сниффер трафика позволяет, например:

• Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи. 1
• Выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие. 1
• Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации. 1
• Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами). 1