Passieve aanvallen (de aanvaller wijzigt het netwerkverkeer niet):

* Netwerk snuiven: De meest basale vorm. De aanvaller vangt passief al het netwerkverkeer op dat door een bepaald netwerksegment gaat. Deze gegevens kunnen vervolgens worden geanalyseerd op gevoelige informatie zoals wachtwoorden, creditcardnummers of vertrouwelijke documenten. Tools zoals Wireshark worden gebruikt voor legitieme netwerkanalyse, maar kunnen ook kwaadwillig worden gebruikt.

* Verkeersanalyse: Analyseren van netwerkverkeerspatronen om informatie over gebruikers, applicaties of systemen af ​​te leiden zonder directe toegang tot de inhoud van de pakketten. Dit kan communicatiepatronen, gebruikerslocaties of de omvang en frequentie van gegevensoverdrachten onthullen, die later voor gerichte aanvallen kunnen worden gebruikt.

Actieve aanvallen (de aanvaller wijzigt of injecteert netwerkverkeer):

* Man-in-the-middle-aanvallen (MitM): De aanvaller onderschept de communicatie tussen twee partijen en doet zich voor als beide partijen om de communicatie af te luisteren en mogelijk te wijzigen. Hierdoor kunnen ze inloggegevens stelen, malware injecteren of gegevens manipuleren. Technieken omvatten ARP-vergiftiging, DNS-spoofing en SSL-stripping.

* Sessiekaping: Het overnemen van een bestaande netwerksessie door het sessie-ID of andere authenticatietokens te onderscheppen. Hierdoor kan de aanvaller zich voordoen als de legitieme gebruiker.

* Pakketinjectie: De aanvaller plaatst kwaadaardige pakketten in het netwerk om de dienstverlening te verstoren, Denial-of-Service (DoS)-aanvallen uit te voeren of malware af te leveren.

* IP-spoofing: De aanvaller verzendt pakketten met een vervalst bron-IP-adres om de herkomst ervan te verhullen en detectie te omzeilen. Dit wordt vaak gebruikt bij DoS-aanvallen en andere vormen van netwerkinbraak.

* ARP-vergiftiging: Een specifiek type IP-spoofing dat zich richt op het Address Resolution Protocol (ARP), waardoor de aanvaller verkeer kan onderscheppen dat bestemd is voor andere apparaten op het lokale netwerk.

* DNS-spoofing/cachevergiftiging: DNS-records aanpassen om gebruikers om te leiden naar kwaadaardige websites of servers. Hierdoor kunnen aanvallers inloggegevens stelen of malware installeren op de machines van nietsvermoedende slachtoffers.

Gegevensexfiltratie: Veel aanvallen maken, zodra ze een systeem hebben gecompromitteerd, gebruik van pakketonderschepping om gestolen gegevens te exfiltreren. Dit kan heimelijk worden gedaan door de gegevens te coderen en via schijnbaar onschadelijke kanalen te verzenden.

Het is belangrijk op te merken dat veel aanvallen verschillende van deze technieken combineren. Een MitM-aanval kan bijvoorbeeld zowel snuiven als pakketinjectie omvatten. Het specifieke type aanval hangt af van de doelen van de aanvaller en de kwetsbaarheden die hij misbruikt.