ネットワークスニッフィングソフトウェアはスイッチ上でどのように機能しますか？

ネットワークには、標準の非管理型3comスイッチがいくつかあります。スイッチは、接続のピア間でのみパッケージを送信することになっていると思いました。

ただし、いずれかのスイッチに接続されたコンピューターで実行されているネットワークスニッフィングソフトウェアは、ネットワーク上の他のスイッチに接続された他のホストコンピューターのトラフィック（YouTubeビデオストリーミング、Webページ）を検出できるようです。

これは可能ですか、それともネットワークは完全に壊れていますか？

Davidの答えを完成させるために、スイッチは、そのポートで受信したパケットのMACアドレスを調べることにより、そのポートの背後にいる人を学習します。スイッチの電源を入れても、何もわかりません。デバイスAがポート1からデバイスBにパケットを送信すると、スイッチはデバイスAがポート1の背後にあることを学習し、すべてのポートにパケットを送信します。デバイスBがポート2からAに応答すると、スイッチはポート1でのみパケットを送信します。

このMACとポートの関係は、スイッチのテーブルに保存されます。もちろん、多くのデバイスが単一のポートの背後にある可能性があるため（例としてスイッチがポートに接続されている場合）、単一のポートに関連付けられた多くのMACアドレスが存在する場合があります。

このアルゴリズムは、テーブルがすべての関係を格納するのに十分な大きさでない場合（スイッチに十分なメモリがない場合）に破損します。この場合、スイッチは情報を失い、すべてのポートにパケットを送信し始めます。これは、1つのポートから異なるMACを使用して多くのパケットを偽造することで簡単に実行できます（ネットワークをハッキングする方法を知っています）。また、スパイするデバイスのMACを使用してパケットを偽造することもでき、スイッチはそのデバイスのトラフィックの送信を開始します。

管理されたスイッチは、ポート（または固定番号）から単一のMACを受け入れるように構成できます。そのポートでさらにMACが見つかった場合、スイッチはポートをシャットダウンしてネットワークを保護するか、ログメッセージを管理者に送信できます。

編集：

youtubeトラフィックについては、上記のアルゴリズムはユニキャストトラフィックでのみ機能します。イーサネットブロードキャスト（例としてARP）、およびIPマルチキャスト（ストリーミングに時々使用される）は異なる方法で処理されます。youtubeがマルチキャストを使用するかどうかはわかりませんが、自分に属していないトラフィックを傍受できる場合があります。

Webページトラフィックについては、TCPハンドシェイクがMACをポートテーブルに正しく設定しているはずなので、これは奇妙です。ネットワークトポロジは、常にフルである小さなテーブルを持つ非常に安価なスイッチを多数カスケードするか、誰かがネットワークをいじっています。

これはよくある誤解です。静的に設定されていない限り、スイッチはすべてのポートを介してすべてのパケットを送信する必要があり、そのパケットを送信する必要がないことを証明できません。

これは、パケットが宛先デバイスを含むポートにのみ送信されることを意味します。しかし、常にそうであるとは限りません。たとえば、スイッチが受信する最初のパケットを考えます。どのポートに送信するかをどのようにして知ることができますか？

「間違った」ポートでパケットが送信されないようにすることは、スイッチが可能なときに使用する最適化です。セキュリティ機能ではありません。多くの場合、マネージドスイッチは実際のポートセキュリティを提供します。

ARPキャッシュポイズニングが有効になっている可能性があります。これは、多くの場合、悪意を持って、スイッチドネットワークのスニッフィングに使用される手法です。これは、ネットワーク上のすべてのマシンに、他のすべてのマシンが自分のMACアドレスを持っていることを確信させることによって行われます（ARPプロトコルを使用）。これにより、スイッチはすべてのパケットをマシンに転送します-分析後にそれらを転送する必要があります。これは、中間者攻撃で一般的に使用され、Cain＆Abelやettercapなどのさまざまなスニッフィングツールで使用できます。