Có một vài loại phần mềm sniffer khác nhau.Chúng bao gồm đánh hơi gói, giao thức điều khiển truyền/giao thức Internet (TCP/IP) và các trình đánh hơi cổng.Phần mềm Sniffer gói thường sẽ bao gồm các tính năng bổ sung và có thể được sử dụng để phân tích các gói, đánh giá và giám sát lưu lượng mạng và để khắc phục sự cố mạng.Loại phần mềm được sử dụng được xác định bởi loại dữ liệu cần được theo dõi hoặc ghi lại.Dữ liệu được định dạng thành các đơn vị được gọi là gói và các trình đánh hơi gói nắm bắt các gói này khi chúng đi qua mạng.Các gói dữ liệu được sắp xếp thành nhiều loại khác nhau và loại gói dữ liệu được xác định bằng cách phân phối qua mạng.quốc gia địa chỉ IP thuộc về.Một số người đánh hơi IP có thể chuyển đổi giữa địa chỉ IP và tên miền hoặc tên máy chủ và sẽ tiết lộ thông tin liên quan trên cả hai.Máy quét cổng hoặc phần mềm Sniffer cổng được thiết kế để kiểm tra máy chủ hoặc máy chủ cho bất kỳ cổng mở nào.Loại phần mềm này thường được các quản trị viên mạng sử dụng để xác minh rằng mạng an toàn và hoạt động đúng, nhưng nó cũng có thể được tin tặc sử dụng để thỏa hiệp bảo mật mạng.

Gói TCP/IP là một trong những gói dữ liệu phổ biến hơn.Nó chứa một tiêu đề và phần dữ liệu với thông tin về nguồn gốc cũng như đích đến của nó.Nội dung gói được lưu trữ trong phần dữ liệu.Bằng cách phân tích các gói này với phần mềm Sniffer, có thể khám phá loại dữ liệu nào được truyền trong mạng và ai đang liên lạc với ai.Một số phần mềm sniffer gói có các tính năng rộng rãi và, tùy thuộc vào mức độ toàn diện của gói, toàn bộ mạng hoặc chỉ là một phần của nó có thể được theo dõi.Chặn một số lượng gói nhất định có thể giúp thu thập dữ liệu để hiển thị quy trình nào có lưu lượng truy cập lớn nhất hoặc ít nhất.Đây cũng là một cách dễ dàng để xác định số lượng tin nhắn được gửi qua mạng.Thông tin này rất quan trọng khi quyết định mở rộng hoặc giảm băng thông mạng.Phần mềm Sniffer cũng có thể phát hiện các vấn đề trong mạng và có thể được sử dụng cho mục đích khắc phục sự cố.Phần mềm có thể xác định xem một bộ điều hợp mạng máy tính có chức năng chính xác hay không và nhận dữ liệu hay nếu lượng dữ liệu quá mức được gửi từ một cổng cụ thể.