Pakettnuusutaja on seade või programm, mis võimaldab kasutajal pealt kuulata võrguga ühendatud arvutite vahelist liiklust. Programm salvestab andmed, mis on adresseeritud teistele masinatele, salvestades need hilisemaks analüüsiks.
Kogu võrgus liikuv teave saadetakse “pakettidena”. Näiteks kui meil saadetakse ühest arvutist teise, jagatakse see esmalt väiksemateks segmentideks. Igale segmendile on lisatud sihtkoha aadress, lähteaadress ja muu teave, näiteks pakettide arv ja kokkupaneku järjekord. Kui nad sihtkohta jõuavad, eemaldatakse paketi päised ja jalused ning paketid taastatakse.
Lihtsaima võrgu näites, kus arvutid jagavad Etherneti juhet, näevad kõik arvutite vahel liikuvad paketid võrgus olevad arvutid. Jaotur edastab iga paketi igale võrgu masinale või sõlmele, seejärel viskab iga arvuti filter kõrvale paketid, mis pole sellele adresseeritud. Pakettide nuusutaja keelab selle filtri, et püüda ja analüüsida mõningaid või kõiki Etherneti juhtme kaudu liikuvaid pakette, olenevalt nuusutaja konfiguratsioonist. Seda nimetatakse “promiscuous-režiimiks”. Selle tulemusel, kui pr Wise arvutis A saadab arvutis B olevale hr Geekile meili, võib arvutis D seadistatud tarkvara nende sidepakette passiivselt hõivata, ilma et proua Wise või hr Geek seda teaks. Seda tüüpi nuuskimist on väga raske tuvastada, kuna see ei tekita oma liiklust.
Veidi turvalisem keskkond on kommuteeritud Etherneti võrk. Keskse jaoturi asemel, mis edastab kogu võrguliikluse kõigile masinatele, toimib lüliti nagu keskne jaotuskilp: see võtab paketid vastu otse lähtearvutist ja saadab need otse masinasse, millele need on adresseeritud. Selle stsenaariumi korral, kui arvuti A saadab e-kirja arvutile B ja arvuti D on lokaalrežiimis, ei näe see ikkagi pakette. Mõned inimesed arvavad ekslikult, et pakettnuusutajat ei saa kommuteeritud võrgus kasutada.
Lülitusprotokolli häkkimiseks on aga viise. Protseduur, mida nimetatakse ARP-mürgituseks, paneb põhimõtteliselt lolli minema, et asendada masin sihtmasina nuusutajaga. Pärast andmete hõivamist saab paketid saata päris sihtkohta. Teine meetod on lüliti üleujutamine MAC-aadressidega (võrguaadressidega), nii et lüliti lülitub vaikimisi “tõrkeavamise” režiimi. Selles režiimis hakkab see käituma nagu jaotur, edastades kõik paketid kõikidele masinatele, et tagada liikluse läbimine. Nii ARP-mürgitus kui ka MAC-i üleujutus genereerivad liiklussignaale, mida saab õige tarkvaraga tuvastada.
Neid programme saab kasutada ka Internetis arvutite vahel liikuvate andmete jäädvustamiseks. Interneti-pakettide läbimiseks on sageli väga pikk vahemaa, mis läbib mitut ruuterit, mis toimivad nagu vahepealsed postkontorid. Nuusutaja võib olla installitud igasse kohta, samuti võib see olla salaja installitud serverisse, mis toimib lüüsina või kogub olulist isiklikku teavet.
Pakettide nuusutaja ei ole ainult häkkeri tööriist. Seda saab kasutada võrgu tõrkeotsinguks ja muudel kasulikel eesmärkidel. Valedes kätes võib see tarkvara aga hõivata tundlikke isikuandmeid, mis võivad põhjustada privaatsuse rikkumist, identiteedivargust ja muid tõsiseid probleeme.
Parim kaitse pealtkuulamise vastu on hea rikkumine: krüpteerimine. Tugeva krüptimise kasutamisel on kõik paketid loetamatud kõigile peale sihtkoha aadressi. Teised programmid suudavad siiski pakette jäädvustada, kuid sisu on dešifreerimata. See illustreerib, miks on nii oluline kasutada turvalisi saite isikliku teabe, näiteks nime, aadressi, paroolide ja kindlasti krediitkaarditeabe või muude tundlike andmete saatmiseks ja vastuvõtmiseks. Krüptimist kasutav veebisait algab https-iga ja meili saab muuta turvaliseks krüpteerimisega programmiga, millest mõnel on kaasas suuremate meiliprogrammide pistikprogrammid.