Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Sniffen

Aanvallen

De informatie die in een computernetwerk rondgaat, afluisteren en analyseren.

Sniffen, ook wel packet sniffing of network sniffing genoemd, is het onderscheppen en analyseren van datapakketten die over een netwerk worden verzonden. Een aanvaller plaatst een sniffer op een strategisch punt in het netwerk en vangt al het passerende verkeer op om gevoelige informatie te achterhalen. Dit verkeer kan inloggegevens, e-mailberichten, financiele transacties en andere vertrouwelijke data bevatten die onversleuteld wordt verzonden. Sniffen is een van de oudste maar nog steeds effectieve aanvalstechnieken in cybersecurity die regelmatig wordt ingezet bij gerichte aanvallen op bedrijfsnetwerken.

De techniek maakt misbruik van het feit dat veel netwerkprotocollen oorspronkelijk zijn ontworpen voor functionaliteit en niet voor beveiliging. Protocollen zoals HTTP, FTP, Telnet en SMTP versturen data in platte tekst, waardoor iedereen die het verkeer kan onderscheppen de inhoud direct kan lezen. Hoewel veel verkeer inmiddels is versleuteld met TLS/SSL, zijn er nog steeds netwerken en applicaties waar onversleuteld verkeer voorkomt, vooral in interne bedrijfsnetwerken, IoT-omgevingen en legacy-systemen die niet eenvoudig kunnen worden geupgraded naar moderne versleutelingsstandaarden zonder grote investeringen.

Hoe werkt sniffen?

Sniffen werkt door de netwerkinterface van een apparaat in promiscuous mode te zetten. Normaal gesproken verwerkt een netwerkkaart alleen pakketten die geadresseerd zijn aan het eigen MAC-adres en negeert het overige verkeer op het netwerksegment. In promiscuous mode vangt de kaart alle pakketten op die over het segment passeren, ongeacht de bestemming. De aanvaller gebruikt sniffing-software om deze pakketten te verzamelen, te decoderen en te analyseren op bruikbare informatie zoals wachtwoorden, sessietokens en vertrouwelijke documenten.

Er zijn twee hoofdtypen sniffen met fundamenteel verschillende werkwijzen. Passief sniffen vindt plaats op netwerken die gebruikmaken van hubs, waar alle verkeer naar alle poorten wordt gestuurd en de aanvaller alleen maar hoeft mee te luisteren zonder zelf verkeer te genereren. Actief sniffen is nodig op geswitchte netwerken, waar verkeer alleen naar de specifieke bestemmingspoort wordt gestuurd. Hierbij gebruikt de aanvaller technieken om het verkeer actief om te leiden zodat het via het eigen apparaat passeert voordat het de werkelijke bestemming bereikt.

De meest gebruikte techniek bij actief sniffen is ARP spoofing, ook bekend als ARP poisoning. Hierbij stuurt de aanvaller vervalste ARP-berichten om het eigen MAC-adres te associeren met het IP-adres van een ander apparaat, zoals de standaard gateway van het netwerk. Alle verkeer dat bestemd is voor de gateway passeert nu via het apparaat van de aanvaller, die het kan inspecteren voordat het wordt doorgestuurd naar de werkelijke bestemming. Dit wordt ook wel een man-in-the-middle aanval genoemd en is bijzonder effectief op lokale netwerken waar ARP-beveiliging ontbreekt.

Andere technieken voor actief sniffen zijn MAC flooding (het overspoelen van de MAC-tabel van een switch waardoor deze als hub gaat functioneren en al het verkeer naar alle poorten stuurt), DNS spoofing (het omleiden van DNS-verzoeken naar een kwaadaardig IP-adres gecontroleerd door de aanvaller) en DHCP spoofing (het opzetten van een valse DHCP-server die verkeer omleidt). Draadloos sniffen is bijzonder effectief op onbeveiligde of slecht beveiligde WiFi-netwerken, waar een aanvaller met een WiFi-adapter in monitor mode alle draadloze pakketten kan opvangen zonder fysiek verbonden te zijn met het netwerk of de toegangscode te kennen.

Hoe herken je sniffen?

Sniffen is inherent moeilijk te detecteren, vooral passief sniffen waarbij de aanvaller geen actief verkeer genereert dat kan worden opgemerkt door monitoring. Bij actief sniffen zijn er echter detecteerbare indicatoren die wijzen op een lopende aanval. ARP spoofing veroorzaakt conflicten in de ARP-tabel waarbij meerdere IP-adressen plotseling hetzelfde MAC-adres krijgen toegewezen. Monitoring tools zoals ARPwatch detecteren deze wijzigingen automatisch en genereren alerts voor het security-team zodat snel kan worden ingegrepen.

Netwerk-anomalieen die kunnen wijzen op sniffen zijn: ongebruikelijk hoge latency door het omleiden van verkeer via een extra apparaat, duplicate IP-conflicten die verschijnen op het netwerk, onverwachte ARP-replies die niet zijn voorafgegaan door corresponderende requests, en apparaten die in promiscuous mode staan zonder dat daarvoor een legitieme beheerreden bestaat. Op een firewall of IDS/IPS kun je regels instellen die verdachte ARP-patronen detecteren en automatisch blokkeren.

Organisaties kunnen ook proactief testen op kwetsbaarheid voor sniffing-aanvallen door een penetratietest uit te laten voeren die specifiek dit aanvalstype omvat. De tester simuleert een ARP spoofing-aanval en rapporteert welke data onderschept kan worden en welke systemen kwetsbaar zijn, wat concrete input levert voor het verbeteren van de netwerkbeveiliging en het implementeren van gerichte tegenmaatregelen.

Hoe bescherm je je tegen sniffen?

De meest effectieve bescherming tegen sniffen is encryptie van al het netwerkverkeer, zowel intern als extern. Gebruik HTTPS voor al het webverkeer, verplicht TLS voor e-mail, vervang FTP door SFTP en Telnet door SSH. Op deze manier kan een aanvaller het verkeer weliswaar onderscheppen, maar niet de inhoud lezen of bruikbare informatie extraheren. Implementeer encryptie end-to-end waar mogelijk, zodat zelfs als verkeer wordt omgeleid de data beschermd blijft tegen inzage.

Gebruik een VPN voor alle verbindingen over onvertrouwde netwerken, zoals publieke WiFi-netwerken in hotels, luchthavens en koffiezaken. Een VPN versleutelt al het verkeer tussen het apparaat en de VPN-server, waardoor sniffing op het lokale netwerk geen bruikbare data oplevert voor de aanvaller. Implementeer 802.1X-authenticatie op bedrijfsnetwerken om te voorkomen dat ongeautoriseerde apparaten toegang krijgen tot het netwerk en als sniffer kunnen fungeren.

Schakel Dynamic ARP Inspection (DAI) in op je managed switches om ARP spoofing effectief te voorkomen. DAI valideert ARP-pakketten tegen de DHCP snooping-database en blokkeert vervalste ARP-berichten automatisch voordat ze het netwerk bereiken. Combineer dit met DHCP snooping om te voorkomen dat ongeautoriseerde DHCP-servers op het netwerk opereren en verkeer kunnen omleiden. Port security op switches beperkt het aantal MAC-adressen per poort, wat MAC flooding-aanvallen tegengaat.

Segmenteer je netwerk met VLANs zodat gevoelig verkeer gescheiden wordt van regulier verkeer en een aanvaller op een segment niet automatisch al het bedrijfsverkeer kan onderscheppen. Gebruik managed switches in plaats van unmanaged switches, omdat managed switches de beveiligingsfuncties bieden die nodig zijn om sniffing-aanvallen te detecteren en te blokkeren. Voer regelmatig audits uit op je netwerkconfiguratie om te verifieren dat beschermingsmaatregelen correct zijn geimplementeerd en actief functioneren.

Veelgestelde vragen over sniffen

Is sniffen altijd illegaal?

Sniffen op je eigen netwerk voor beveiligings- of diagnosedoeleinden is legaal en gangbare praktijk bij netwerkbeheer. Netwerkbeheerders gebruiken sniffers dagelijks voor troubleshooting en capaciteitsplanning. Het onderscheppen van andermans netwerkverkeer zonder toestemming is strafbaar onder de Telecommunicatiewet en de Wet computercriminaliteit.

Welke tools worden gebruikt voor sniffen?

Wireshark is de meest gebruikte netwerkanalysator en is gratis beschikbaar voor alle gangbare besturingssystemen. Tcpdump is een command-line sniffer voor Linux en macOS. Kwaadwillenden gebruiken tools als Ettercap voor ARP spoofing en Bettercap voor geavanceerde man-in-the-middle aanvallen op zowel bekabelde als draadloze netwerken.

Kan HTTPS volledig beschermen tegen sniffen?

HTTPS beschermt de inhoud van webverkeer effectief tegen onderschepping door sterke versleuteling. Een aanvaller kan echter nog steeds metadata zien, zoals welke websites je bezoekt via DNS-queries en Server Name Indication. DNS-over-HTTPS en Encrypted Client Hello adresseren ook deze metadata-lekken voor extra bescherming.

Wat is het verschil tussen sniffen en een man-in-the-middle aanval?

Sniffen is het passief of actief onderscheppen van netwerkverkeer om data mee te lezen zonder deze te wijzigen. Een man-in-the-middle aanval gaat een stap verder door het verkeer niet alleen te onderscheppen maar ook actief te wijzigen voordat het wordt doorgestuurd, bijvoorbeeld om malware te injecteren of transactiegegevens te manipuleren.

Beveilig je netwerkverkeer. Vergelijk VPN & Secure Remote Access oplossingen op IBgidsNL.