交换机有可能像路由器一样搞各种劫持吗？

不太可能，交换机各个端口转发是硬件转发。那样搞，包要上到 CPU，成本可能有点大，产品没有竞争力。

先不说一个二层的设备上如何实现七层的功能。
能跑起来这么高端功能的硬件为何不当路由器卖而便宜当交换机？

国产路由器这么厉害

如果是断个网那还差不多，arp 劫持。想实现你说的推广，那可是要解包的...交换机为了快速在线上大肆设计，不经过 cpu 。现在解个包再打包转发，所有包都在 cpu 那排队，在内存中拷贝来拷贝去，这成本会导致交换机比路由慢多了。

去某宝买一个带镜像功能的交换机吧，88 块钱左右；
然后基于 libcap 写个程序 就能做到了
当年我本机开发类似的程序就是这么做的；劫持了全公司的流量，谁去看片了分分钟知道；就是 https 无解。

理论上可以， 但没必要。 想知道如何实现去了解一下芯片设计。只要理解各种劫持的本质和思想用啥方式实现都行。

拿软件实现的功能其实拿纯件也可以实现， 处理速度会比纯软件要快很多但只不过成本高还不通用。

但走 https 的流量包很难用纯硬件实现劫持

可以做但没必要，这些功能一般在路由器上实现（当然不是日常用的那种）
交换机主要还是用来组网，即使那些带三层协议的也是围绕组网功能，vlan，生成树，环

一般的交换机就是 Realtek 的单芯片方案吧，里面有个 24 系 EEPROM 或者 25 系 SPI Flash，用来支持不同的功能。CPU 就一个 8051，基本上靠专用电路来处理数据。网速上去了甚至可能变成集线器那样把包直接广播
拆开看最靠谱。mt7620 之类的 MIPS 单核 CPU 挺便宜的而且内建百兆 VLAN 交换机，也有可能拿来搞劫持吧，不过用在一般的用户上面成本太高了

@OliverDD #4
不少交换机芯片是支持 VLAN 的，用个端口比实际给用户使用的端口多的芯片，绑定 2 个端口做端口镜像，再拿个路由器的 CPU 就可以抓包分析数据了，电视盒子里面回收芯片的话也可以。和交换机芯片用 RGMII 来连接就可以了，很多交换机芯片是支持的
用户那边应该感觉不到什么异常。要和服务器交互的话，可以趁着用户不容易发现的情况伪装成别的设备来通信，那个设备离线了就可以。比如家人出去的时候伪装成他们的手机，大部分人应该发现不了

国产路由器有谁家证据确凿在干这种事么……
真的好奇，只知道之前某运营商干这个

@systemcall #11 学到了谢谢

@ScepterZ
小米劫持 404 （是真的 404，返回 404 就会劫持到别的地方，运营商也干过，运营商以前还劫持不存在的网站到自己的广告页面，不然 chrome 为什么一启动就会 nslookup 一些不存在的域名？）
现在据说是收敛了一些，但是感觉应该只是现在的 404 页面是 HTTPS 的不方便劫持了而已

@systemcall 监听简单，他这个要实时监听+修改，能做到的硬件性能起码做个企业路由不成问题，交换机这种一二十块钱的东西用这种硬件是绝对不可能的。

一般不太会，实在不行 doh,dot 伺候

技术上可行，可以理解为一个透明的防火墙，参考某些行为审计设备。
但是这是交换机，没有人会在交换机上这么做的，有这种功能的叫防火墙。