Сега ще разгледам една проста атака която е най-често срещаната заплаха, която идва от самата локална мрежа, в която ние участваме. Тя може да доведе до големи последици и изтичане на информация. Sniffing е атака при която злонамереното лице подслушва и преглежда трафика в мрежата, като по този начин може да прехване пароли, както и практически всяко едно съобщение, което се разпространява из мрежата. Някои мрежови специалисти вярват, че ако се използва комутатор, тази атака се предотвратява напълно. За жалост това не е така. Съществува един метод, който се нарича ARP Poissoning. При него се заразяват ARP таблиците на хостовете, като по този начин чуждия мрежов трафик се прекарва през атакуващия компютър, позволявайки той да бъде подслушван и дори променян. Атаката при която се променя преминаващия трафик се нарича man in the middle(междинна атака) и позволява осъществяването на много други атаки. Но да се върнем на ARP Poissoning. Той може да се осъществи благодарение на факта, че ARP протокола не поддържа протоколи за сигурност, което позволява на всеки да манипулира данните в ARP таблицата на хостовете, карайки да мислят, че изпращат данни към своя gateway, но практически те преминават първо през атакуващата машина. Тази атака се осъществява на втория слой от OSI модела – Data link слоя, на който се прилагат атаките предназначени за локални мрежи. Основните начини за защита са два – използване на managed switch с филтри, който спира подправените ARP пакети или използване на статични ARP таблици на всички хостове. Първото решение е много скъпо, а второто е трудно за реализация и поддръжка. Единствената превантивна мярка, която може да се изпълнява е периодично проверяване на ARP таблиците на хостовете за еднакви MAC адреси на няколко машини. А единствената реална защита е криптирането на мрежовия трафик. Като резултат от тази атака може да се реализира DNS Spoofing, при който атакуващата машина се представя за Web сървър, като по този начин може да открадне пароли или друга чувствителна информация. Това става когато атакуващият прехване DNS заявката на жертвата и отговори на нея с фалшив IP адрес. По този начин жертвата не подозира, че комуникира не с търсената машина, а с атакуващата машина.

Много често обръщаме повече внимание върху атаките, който очакваме да дойда от източник извън нашата мрежа. Затова ние съсредоточаваме нашите усилия в усигуряване на защита именно там. Това се нарича осигуряване на защитен периметър, и обикновенно се реализира посредством firewall, IDS, IPS или някакво интеграирано решение, който е изработен за да предпазва вътрешния трафик от външна намеса. Изводът е, че вътрешната мрежа трябва да остане непокътната, но периметърната защита има няколко недостатъка. Ако тази защита бива прескочена по някакъв начин, вътрешната мрежа остава отворена за атаки. При това трябва да се вземе под предвид факта че мрежата може да бъде компрометирана и от вътре(например от недоволко служители). В този случай ние трябва да обърнем внимание и на така наречената defense-in-depth защита. Тя рефлектира върху самите хостове, като затяга сигурността при индивидуалните устройства. Това се постига чрез инсталиране на защитна стена. Тя предпазва от нежелани външни намеси или процеси, които имат за цел да установят контрол над системата, като следи мрежовия трафик който влиза и излиза от системата. Функцията на защитната стена e да пропуска само проверения трафик да преминава през нея и да следи всякакви видове нежелана активност. Другият елемент на defense-in-depth защитата е антивирусната програма. Тя предотвратява заразяването на системата с мейлуер. Това заразяване може да има много последици, от загуба на файлове до внедряване на задни вратички, които спомагат за проникване в системата. Тези задни вратички могат да се използват за установяване на контрол над системата, за прескачане на защитната стена или за атакуване на друг хост. Постоянното обновяване на антивирусния софтуер и операционната система, също е едно задължително мероприятие ако искаме нашата информация да остане защитена.