Ovo je najjednostavniji pasivni napad i sastoji se od prisluškivanja mreže s ciljem praćenja broja i veličine paketa u mreže. Za ovu vrstu napada napadaču je potrebna zadovoljavajuća antena, mrežna kartica koja radi u modu za slušanje (dakle ne odašilje nikakve pakete) i programska podrška koja će vršiti analizu veličine i broja paketa. Ovim napadom napadač može saznati tri osnovne informacije: količinu prometa u mreži, fizičku lokaciju pristupnih točaka te vrste protokola koji se koriste na mreži. Pojava naglog povećanja prometa na mreži može poslužiti kao indikator nekog bitnog događaja. Uz usmjerenu antenu(Yagi antena) i u kombinaciji sa GPS( Global Positioning System ) sustavom napadač metodom triangulacije može doći do fizičke lokacije pristupne točke ili centra bežične mreže. Informaciju o vrsti protokola napadač može dobiti brojeći pakete u vremenskom intervalu. Najbolji primjer je TCP( Transmission Control Protocol ). Ovaj protokol sinkronizira komunikaciju između krajnjih točaka odašiljući tri paketa. Prvo onaj koji šalje odašilje SYN paket onome s kime želi komunicirati. Tada prijemna strana odašilje paket SYNACK. Nakon toga prva strana šalje ACK paket i time komunikacija može otpočeti. Napadač može primijetiti takav uzorak te dobiti za daljnje napade bitnu informaciju o protokolima koji se koriste.
U ovom napadu napadač također samo osluškuje mrežu. Jedini uvjet za uspješan napad ovoga tipa je pristup signalu mreže. Ovdje dolazi do izražaja koliko je mreža fizički zaštićena tj. koliko se vodilo računa o rasprostiranju signala pristupnih točki u prostoru. No čak ako je i mreža, fizički, dobro dizajnirana moguće je da napadač ima bolju opremu nego što standard nalaže i tako uspije dobiti pristup mreži. Standardni scenarij ide tako da napadač osluškuje mrežu i čeka da se ponovi isti inicijalizacijski vektor te tako, na ranije opisan način, dolazi do P1 XOR P2.Nakon toga napadač, ukoliko mu je poznata jedna riječ iz para P 1 , P 2 može odmah doći do druge poruke. Ukoliko napadač ne zna niti jednu poruku tada može, koristeći ranije dobivene informacije o protokolu, pretpostaviti neke konstantne dijelove poruka i tako doći do podataka. Uzmimo primjer da se u mreži koristi TCP/IP protokol. Zaglavlje IP protokola ima na fiksnoj udaljenosti od početka paketa zapisane u fiksnoj duljini IP adresu izvora i odredišta koje napadač može poznavati i tako dobiti dio poruke kojim se može poslužiti u otkrivanju cijele poruke. TCP protokol, također, ima na točno određenom mjestu zapisane izvorišni i odredišni port na koji se spaja i koji je točno poznat za svaku uslugu(npr. web poslužitelj se javlja na portu 80, news na 119, e-mail poslužitelj na portu 25 itd.) te i to iskoristiti u otkrivanju podataka. Isti se princip može primijeniti i na zaglavlja raznih aplikacija koje imaju dobro definiran oblik(npr. HTTP protokol koji se koristi na Internetu).
Napadač također može napraviti bazu podataka koja se sastoji od parova (IV, C1 XOR C2) tako da svaki puta kada se upotrijebi isti ključ može doći automatski do P1 XOR P2 i daljnjim postupcima analize na kraju do P1 i P2.
