IGMP snooping là một phương pháp mà các switch mạng sử dụng để xác định các nhóm multicast, là các nhóm máy tính hoặc thiết bị đều nhận được cùng một lưu lượng mạng. Nó cho phép các switch chuyển tiếp các gói đến đúng thiết bị trong mạng của chúng.
Giao thức quản lý nhóm Internet (IGMP) là một giao thức lớp mạng cho phép một số thiết bị chia sẻ một địa chỉ IP để tất cả chúng có thể nhận cùng một dữ liệu. Các thiết bị nối mạng sử dụng IGMP để tham gia và rời khỏi các nhóm phát đa hướng (multicasting group) và mỗi nhóm phát đa hướng chia sẻ một địa chỉ IP.
Tuy nhiên, hầu hết các switch mạng không thể thấy thiết bị nào đã tham gia nhóm phát đa hướng, vì chúng không xử lý các giao thức lớp mạng. IGMP snooping là một cách giải quyết vấn đề này: nó cho phép các switch "rình mò" các tin nhắn IGMP, mặc dù về mặt kỹ thuật, chúng thuộc về một lớp khác của mô hình OSI. IGMP snooping không phải là một tính năng của giao thức IGMP, mà là một sự thích ứng được tích hợp trong một số switch mạng.
Switch mạng kết nối các thiết bị trong mạng và chuyển tiếp các gói dữ liệu đến và đi từ các thiết bị đó (còn được gọi là "máy chủ"). Không giống như router, switch không chuyển tiếp các gói giữa các mạng; nó chỉ chuyển tiếp các gói trong một mạng.
Các quá trình làm cho Internet hoạt động được chia thành các lớp khác nhau. Mô hình OSI là một cách tiêu chuẩn để xác định các lớp mạng khác nhau. Mô hình OSI chứa 7 lớp. Lớp liên kết dữ liệu và lớp mạng lần lượt là lớp 2 và 3.
Các giao thức và thiết bị mạng được xác định một phần bởi chúng thuộc lớp nào. Các chức năng của thiết bị mạng bị giới hạn bởi các lớp mà thiết bị có thể tương tác. Switch lớp 2 không xử lý các giao thức lớp 3.
IGMP snooping đã tránh được hạn chế này. Switch lớp 2 quan sát lưu lượng IGMP lớp 3 và sử dụng khả năng hiển thị này để tạo bảng theo dõi các nhóm phát đa hướng.
Ngăn chặn tràn lưu lượng truy cập: Nếu switch không biết thiết bị nào thuộc nhóm phát đa hướng, nó sẽ chuyển tiếp tất cả lưu lượng phát đa hướng mà nó nhận được. Kết quả là các thiết bị trên mạng nhận được nhiều lưu lượng hơn mức cần thiết. Chúng phải dành sức mạnh tính toán để xử lý các gói không mong muốn này, làm chậm các chức năng bình thường hoặc dừng chúng hoàn toàn.
Nếu một mạng không kích hoạt tính năng IGMP snooping, những kẻ tấn công có thể khai thác nó để tấn công từ chối dịch vụ (DoS). Bằng cách gửi lưu lượng phát đa hướng không cần thiết mà các switch mạng sẽ chuyển tiếp qua mạng, kẻ tấn công có thể buộc băng thông mạng và sức mạnh xử lý.
Làm cho mạng nhanh hơn: Càng nhiều lưu lượng truyền qua mạng, băng thông của mạng càng ít. IGMP snooping bảo tồn băng thông bằng cách cắt giảm lượng lưu lượng mà các switch chuyển tiếp để lại nhiều băng thông hơn, làm cho mạng nhanh hơn.
IGMP là giao thức đa hướng cho IPv4, phiên bản thứ tư của giao thức Internet. IPv6 dựa vào tính năng khám phá trình xử lý đa hướng (MLD) để phát đa hướng. Mạng IPv6 sử dụng MLD snooping chứ không phải IGMP snooping.