Door Anoniem: Het is dus niet mogelijk om via het éne systeem het netwerkverkeer van het andere systeem te onderscheppen.
Ook niet als de 'afgaande' poort wordt afgekoppeld? Een tijdje terug knalde de buitenlijn eruit op mijn werk, waarna ik via WireShark alle requests van het hele bedrijf voorbij zag komen. Enig idee hoe dit zou kunnen, mocht dit niet aan de switch (kunnen) liggen?
Zolang de switch weet welk mac adres achter welke poort zit wordt verkeer van het ene mac adres naar het andere 'direct' naar de juiste poort gestuurd.
Maar als de switch nog niet weet achter welke poort de destination zit, wordt het ethernet frame op alle switchpoorten [in het zelfde vlan] geflood. Normaal gesproken zal dat ophouden bij het eerste antwoord van de destination, want daarmee ziet de switch de poort waar in het vervolg dat verkeer naar toe moet.
Als de destination opeens ophoudt te werken, zal na kortere of langere tijd de switch de geleerde poort/mac combinatie vergeten, waarna alle verkeer voor die destination mac geflood zal worden op alle poorten.
Dat is wat gebeurd moet zijn op je werk.
Als een poort up/down gaat wordt de mapping van mac adressen naar die poort ook gewist; Verder zit er een timer op.
De mapping IP-mac is bij de clients nog wel bekend (dat is de arp table), en de timeout daarvan is meestal veel langer dan de mac/poort mapping timeout in een switch.
Als het bij je werk nog langer zou duren ga je alleen maar arp requests zien.
Verder zijn er nog wel actieve manier om dit soort dingen te forceren (arp poisoning, cam table flooding).
Een voldoende luxe/dure switch heeft weer opties om dit soort dingen te blokkeren, maar dat geeft meer overhead voor het beheer van het netwerk.