Şimdi şöyle anlatıyım, mesela msn messengerdan birine msj göndericez diyelim. Eğer hub ile internet dağıtılıyorsa bu msj'ı içeren paket hubdan hem interneti dağıtan modeme veya routera diyim hem de bu ağa bağlı olan başka bir makinaya da gider. Normalde bu paketin hedef mac adresi modem olduğu için diğer alakasız makina bu paketi yoksayar, kabul etmez. Ama eğer bu makinada sniff programı varsa bu paket bu makinadan da görünür. Yani paketi gönderen makina, bu paketin başka makinadaya gidip de dinlendiğini bilmez, ruhu bile duymaz. Buraya kadar anlaşıldı sanırım. Şimdi bir de bu msn mesajına cevap geldiğini varsayalım. Paket modeme geldi, modem hedef mac adresini ilgili makinanın mac adresi olarak ayarladi normalde switch olsaydı bu paket sadece cevap bekleyen makinaya gitcekti. Hub ise herkese dağıttığı için bunla ilgisi olmayan sniffer da bu paketi yakaladı. Hubda durum böyle sniffing kolay da, switch de ne olurdu? Sniff eden makina switchi kandırarak, kendi mac adresini arp request ile sniff edeceği makinanın mac adresi gibi gösteriyor. Switch de buna kanarak paketi sniff eden makinaya gönderiyor. Sniffer bu paketi yakaladı ama bir de bu paketin cevap bekleyen ilgili makinaya da gitmesi gerekiyorki anlaşılmasın. Arp spoofing özellikli sniff programları bunu kendiliğinden ilgili makinaya da yönlendiriyor. Her iki şekilde de sniff edilen bunu anlamıyor. Firewall engelleyemiyor çünkü dinlenen makinaya doğrudan bir bağlantı söz konusu değil. Onun gönderdiği aldığı paketler başka yerde görülüyor. İşte böyle farklı bir prensipte çalışıyor.