网络嗅探软件如何在交换机上工作？

网络中有几种标准的非托管3com交换机。我认为交换机应该只在连接的对等方之间发送包。

但是，似乎在连接到任一交换机的计算机上运行的网络嗅探软件能够检测连接到网络上其他交换机的其他主机的流量（即youtube视频流，网页）。

这甚至可能还是网络彻底中断？

为了完成David的回答，交换机通过查看在该端口上接收到的数据包的MAC地址来了解端口后面是谁。接通电源后，它什么也不知道。一旦设备A从端口1向设备B发送数据包，交换机就会获悉设备A在端口1后面，并将数据包发送到所有端口。设备B从端口2回复到A后，交换机仅在端口1上发送数据包。

MAC与端口的关系存储在交换机的表中。当然，许多设备可能位于单个端口后面（例如，如果将交换机插入该端口），因此单个端口可能有许多MAC地址。

当表的大小不足以存储所有关系（交换机中没有足够的内存）时，此算法将中断。在这种情况下，交换机将丢失信息，并开始向所有端口发送数据包。通过从单个端口伪造具有不同MAC的许多数据包，可以轻松完成此操作（现在您知道如何破解网络）。也可以通过使用您要监视的设备的MAC伪造一个数据包来完成此操作，交换机将开始向您发送该设备的流量。

可以将受管交换机配置为从端口（或固定数量）接受单个MAC。如果在该端口上找到了更多的MAC，则交换机可以关闭该端口以保护网络，或向管理员发送日志消息。

编辑：

关于youtube流量，上述算法仅适用于单播流量。以太网广播（例如ARP）和IP多播（有时用于流传输）的处理方式不同。我不知道youtube是否使用多播，但是在某些情况下，您可以嗅探不属于您的流量。

关于网页流量，这很奇怪，因为TCP握手应该已经将MAC正确设置为端口表。网络拓扑要么将许多非常便宜的交换机与总是装满的小表层叠起来，要么有人正在弄乱网络。

这是一个普遍的误解。除非静态配置，否则交换机必须在无法证明不需要继续发送该数据包的每个端口上发送每个数据包。

这可能意味着数据包仅发送到包含目标设备的端口。但这并非总是如此。例如，考虑交换机收到的第一个数据包。它怎么知道将它发送到哪个端口？

禁止在“错误”端口上发送数据包是交换机在可能的情况下使用的一种优化。这不是安全功能。受管理的交换机通常确实提供了实际的端口安全性。

ARP缓存中毒很有可能已生效。这是一种经常被恶意用来嗅探交换网络的技术。通过说服网络上的每台计算机，每台其他计算机都有您的MAC地址（使用ARP协议）来完成此操作。这将导致交换机将所有数据包转发到您的计算机-您需要在分析后将它们转发。这通常在中间人攻击中使用，并且可在各种侦听工具（例如Cain＆Abel或ettercap）中使用。