Questo non è possibile. Se un avversario cattura una macchina nella rete, un software può ascoltare su qualsiasi traffico del dispositivo di rete di quella macchina. Quindi, tutto il traffico da e verso quella macchina è compromesso.
Se un avversario può piazzare una nuova macchina sotto il suo controllo sulla rete, è comunque in grado di afferrare il traffico che attraversa in qualche modo la scheda di rete di quel dispositivo. Interagire con la rete in qualsiasi modo può rivelare l'attacco a un rilevatore di intrusione, quindi l'interazione con la rete non è un'opzione.
Con l'ascolto puro ci sono due casi:
1. viene usato un hub
Poiché gli hub trasmettono semplicemente tutti i pacchetti, tutto il traffico che attraversa gli hub a cui è collegato un avversario è compromesso.
2. un interruttore è usato
Gli switch non trasmettono il traffico. In questo caso, un avversario non può afferrare alcun traffico senza interagire con la rete (cosa potrebbe rivelare l'attacco). Questo è il motivo per cui gli switch vengono utilizzati nella maggior parte dei casi in cui la sicurezza non svolge alcun ruolo.
Se l'hub / switch / router nella rete può essere controllato da un utente malintenzionato, tutti i dati che attraversano tale hub sono compromessi, ovviamente. A seconda delle dimensioni e dell'infrastruttura di quella rete, molti dati sensibili potrebbero essere compromessi in questo modo.
TL; DR: su reti moderne che trasportano informazioni sensibili, questo è impossibile.
P.S .: Intrusion Detection è anche solo un software. E il software ha dei bug. Quindi, conoscere quale firewall / software di rilevamento è utilizzato nella rete di destinazione consentirà alcuni modi per interagire con la rete. Il traffico che può essere compromesso in questo caso è imprevedibile.
Lo stesso vale per l'acquisizione di un nodo di rete (hub / switch / router): se ciò può essere fatto senza rilevamento, un utente malintenzionato avrà accesso a un'ampia scala di dati su tale rete.