Pour compléter la réponse de David, un commutateur apprend qui se trouve derrière un port en regardant les adresses MAC des paquets reçus sur ce port. Lorsque le commutateur est sous tension, il ne sait rien. Une fois que le périphérique A envoie un paquet du port 1 au périphérique B, le commutateur apprend que le périphérique A se trouve derrière le port 1 et envoie le paquet à tous les ports. Une fois que le périphérique B répond à A depuis le port 2, le commutateur envoie uniquement le paquet sur le port 1.
Cette relation MAC / port est stockée dans une table dans le commutateur. Bien sûr, de nombreux périphériques peuvent se trouver derrière un seul port (si un commutateur est branché sur le port par exemple), il peut donc y avoir plusieurs adresses MAC associées à un seul port.
Cet algorithme se casse lorsque la table n'est pas assez grande pour stocker toutes les relations (pas assez de mémoire dans le commutateur). Dans ce cas, le commutateur perd des informations et commence à envoyer des paquets à tous les ports. Cela peut facilement être fait (maintenant vous savez comment pirater votre réseau) en forgeant beaucoup de paquets avec différents MAC à partir d'un seul port. Cela peut également être fait en forgeant un paquet avec le MAC de l'appareil que vous souhaitez espionner, et le commutateur commencera à vous envoyer le trafic pour cet appareil.
Les commutateurs gérés peuvent être configurés pour accepter un seul MAC à partir d'un port (ou d'un numéro fixe). Si plusieurs MAC sont trouvés sur ce port, le commutateur peut fermer le port pour protéger le réseau ou envoyer un message de journal à l'administrateur.
ÉDITER:
À propos du trafic youtube, l'algorithme décrit ci-dessus ne fonctionne que sur le trafic unicast. La diffusion Ethernet (ARP à titre d'exemple) et la multidiffusion IP (utilisée parfois pour le streaming) sont gérées différemment. Je ne sais pas si YouTube utilise la multidiffusion, mais il peut s'agir d'un cas où vous pouvez détecter le trafic qui ne vous appartient pas.
À propos du trafic des pages Web, cela est étrange, car la négociation TCP aurait dû définir correctement la table MAC sur le port. Soit la topologie du réseau met en cascade un grand nombre de commutateurs très bon marché avec de petites tables qui sont toujours pleines, soit quelqu'un dérange le réseau.