Ce sont des sortes de sondes que l’on place sur un réseau pour l’écouter, et en particulier récupérer à la volée des informations sensibles, comme des mots de passe, sans que les utilisateurs ou les administrateurs du réseau ne s’en rendent compte. Le renifleur peut être un équipement matériel ou un logiciel (le premier est bien plus puissant et efficace que le second, encore que, la puissance des machines augmentant sans cesse, l’écart se resserre. Mais le premier est surtout beaucoup plus cher que le second).

Lorsqu’une machine veut communiquer avec une autre, elle envoie ses messages sur le réseau à l’ensemble des machines, et normalement seule la machine cible intercepte le message pour le lire, alors que les autres l’ignorent. Ainsi en utilisant la méthode du sniffing, il est possible d’écouter le trafic passant par un adaptateur réseau (carte réseau, carte réseau sans fil, etc.). Pour pouvoir écouter tout le trafic sur une interface réseau, celle-ci doit être configurée dans un mode spécifique, le mode « promiscuous ». Ce mode permet d’écouter tous les paquets passant par l’interface, alors que dans le mode normal, le matériel servant d’interface réseau élimine les paquets n’étant pas à destination de l’hà´te. (Par exemple, il n’est pas nécessaire de mettre la carte en mode « promiscuous » pour avoir accès aux mots de passe transitant sur un serveur FTP, vu que tous les mots de passe sont à destination dudit serveur.)