Le Switch lui n'envoi que les paquets à destination de la machine concernée à cette dernière. Il est donc extrêmement simple de sniffer un réseau sur un Hub. Sur un Switch, il faut recourir à un artifice un peu plus complexe, une attaque appelée « arp spoofing ». En effet le switch utilise l'adresse MAC (aussi appelée adresse physique ou ARP) de la machine pour lui adresser ses paquets. Si l'on arrive à corrompre la table arp du switch (son « spanning » tree) en spoofant (voir article sur le spoofing) la ou les machines concernées, on peut écouter leur conversation. Le principe est d'envoyer des paquets « arp-reply » aux machines à espionner pour les convaincre que l'adresse arp de leur correspond est associé à l'ip de la machine que le pirate utilise pour sniffer. Ensuite les paquets arrive à cette machine et le pirate n'a plus qu'à les renvoyer à la bonne machine pour ne pas « casser » la communication et que les machines reçoivent quand même les paquets. C'est une forme de détournement de paquets en somme.

Ensuite, il existe un grand nombre d'informations intéressantes qui transitent dans les communications réseau et l'interception est ciblée sur ce qui intéresse le pirate, mail, mot de passe, échange de fichiers etc...

Les protections existent à différents niveaux, sans être toujours parfaitement efficaces. Déjà la première protection est de mettre des switch et non des hubs sur les segments réseaux sur lesquels transitent des informations importantes. Ensuite il convient de choisir un switch capable de détecter et d'enrayer les attaques par arp spoofing. Enfin un IPS peut se charger de protéger la table ARP des machines sur lequel il est installé pour éviter qu'une telle attaque soit possible. Il est aussi efficace de mettre en place un système de surveillance des tables ARP qui détectera les changements ou ajouts de MAC dans le réseau local et les signalera à l'administrateur.