과거의 Dummy Hub 환경과는 달리 스위칭 허브 환경에서는 단순히 스니핑 툴을 실행한다고 해서 패킷 스니핑이 되지 않는다. 이는 스위칭 허브(스위치)의 각 포트에 접속된 장비들의 MAC 주소를 캐싱하여 프레임(2계층의 데이터 단위)을 목적지 포트(스위치의 물리적 포트)로만 보내주기 때문이다. 즉 스위치에 접속된 컴퓨터는 수신될 즉 목적지 MAC 주소가 자신으로 되어 있는 프레임만 수신되기 때문에 다른 컴퓨터로 전송되는 프레임은 수신되지 않는다.
하지만 다음에 설명되는 기법들을 사용하면 스니핑을 할 수 있다.
1) Switch Jamming
스위치의 MAC Address Table을 모두 채워서 스위치가 더미허브처럼 모든 프레임을 스위치의 모든 포트로 전송(브로드캐스트)하도록 만들어 스니핑이 가능한 환경을 만든다. 공격자는 MAC Address Table을 모두 채우기 위해 변조한 MAC 정보를 담고 있는 ARP Reply 패킷을 계속해서 스위치에게 전송한다.
2) ARP Spoofing
공격자가 스니핑하고자 하는 희생자 호스트에게 호스트가 통신하는 상대방의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply 패킷을 희생자에게 지속적으로 보내면 희생자의 ARP Cache Table에 희생자가 통신하고자 하는 호스트의 MAC 주소가 공격자의 맥 주소로 변경되어 스니핑이 가능하다.
3) ARP Redirect
공격자가 자신이 게이트웨이(라우터)인 것처럼 MAC주소를 위조한 ARP Reply 패킷을 브로트캐스트하여 네트워크에 연결된 모든 호스트의 MAC 어드레스 테이블의 게이트웨이 MAC 주소를 공격자의 MAC 주소로 변조하여 모든 통신을 스니핑을 하는 공격 기법이다.
4) ICMP Redirect
앞의 공격은 모드 ARP 캐시테이블을 변조하는 공격이지만 ICMP 리다이렉트는 L3(네트워크 레이어)의 라우팅 테이블의 게이트웨이 주소를 변조하는 공격이다. 공격자는 라우터에서 호스트 또는 라우터간의 라우팅 경로를 재설정하는 ICMP 리다이렉트 메시지를 희생자에게 전송하여 희생자 호스트의 라우팅테이블을 변조하여 스니핑을 가능하게 하는 공격기법이다.
5) Switch의 SPAN/MONITOR포트를 이용하는 방법
특별한 공격을 수행하지 않고 스위치의 포트미러링이 가능한 Monitor 포트에 노트북이나 컴퓨터를 접속하여 물리적으로 스니핑을 가능하게 하는 방법이다.