Os ataques por monitoração são baseados em software de monitoração de rede conhecido como “sniffer”, instalado surrepticiamente pelos invasores. O sniffer grava os primeiros 128 bytes de cada sessão login, telnet e FTP session vista naquele segmento de rede local, comprometendo TODO o tráfego de/para qualquer máquina naquele segmento, bem como o tráfego que passar por aquele segmento. Os dados capturados incluem o nome do hostdestino, o username e a password. A informação é gravada num arquivo posteriormente recuperado pelo invasor para ter acesso a outras máquinas. Em muitos casos os invasores obtem acesso inicial aos sistemas usando uma das seguintes técnicas: Obtém o arquivo de passwords via FTP em sistemas impropriamente configurados. Obtém o arquivo de password de sistemas rodando versões inseguras do NIS Obtém acesso ao sistema de arquivos locais via pontos exportados para montagem com NFS, sem restrições. Usam um nome de login e password capturada por um sniffer rodando em outro sistema. Uma vez no sistema, os invasores obtem privilegios de root explorando vulnerabilidades conhecidas, tal como rdist, Sun Sparc integer division, e arquivos utmp passíveis de escrita por todo mundo ou usando uma password de root capturada. Eles então instalam o software sniffer, registrando a informação capturada num arquivo invisível. Adicionalemente, eles instalam Cavalos de Troia em substituição e uma ou mais dentre os seguintes arquivos do sistema, para ocultar sua presença:
/bin/login
/usr/etc/in.telnetd
/usr/kvm/ps
/usr/ucb/netstat