Esnifar el tráfico sobre un segmento utilizando un switch no es una operación imposible. dsniff es un software el cual realiza esta tarea de manera simple: El sistema del ciberatacante envía un paquete ARP falsificado hacia el sistema objetivo, indicándole su puerta de enlace predeterminada ha cambiado hacia el sistema del ciberatacante. Cuando el sistema objetivo envía tráfico sobre la red, lo envía primero hacia el sistema del ciberatacante, luego reenvía el paquete hacia su destino original como si nada hubiese ocurrido.
Otra utilidad para realizar esta tarea es Ettercap. Ettercap es un sniffer de segunda generación el cual permite detectar todo el tráfico, incluso en una red utilizando un switch. Ettercap se basa en gran medida en el envenenamiento del caché ARP (donde el ciberatacante envía respuestas ARP falsas para asociar su dirección MAC con las direcciones IP de los hosts de origen y destino).
Sniffing Autorizado
Muchos switches soportan “port mirroring”, SPAN, “puerto de gestión”, o funcionalidades similares, lo cual permite a los administradores de red realizar sniffing autorizado para vigilar el tráfico de la LAN sobre cualquier computadora conectada hacia un puerto designado del switch.
Sniffing No Autorizado
Sniffing tradicional no autorizado sobre un switch es difícil, pero con el advenimiento de herramientas como dsniff se ha simplificado esta tarea; con un programa redirigiendo ARP y reenviando IP, un ciberatacante puede esnifar cada estación sobre una red utilizando un switch.
Fuentes:
https://www.ettercap-project.org/
https://github.com/tecknicaltom/dsniff