Ну давайте подумаем...
1) на физическом уровне можно вставить врезку в кабель, где-то на последней миле может быть радиорелейный пролёт (вы об этом даже не узнаете), тут даже вставку делать не надо, в конце концов можно и к транзитному сетевому оборудованию физический доступ получить, а ещё есть инструменты анализа электромагнитного фона (даже через силовые шнуры)
2) на канальном уровне можно применить arp-спуфинг, переполнить таблицу коммутации свича, подловить кривой конфиг xSTP, экспериментально подобрать мак/влан на соседнем порту для искусственной коллизии...
3) на сетевом уровне можно подменить шлюз (много разных техник и использованием того же ARP, VRRP, тупая подмена IPадреса), DHCP, подхачить протоколы маршрутизации (о, тут целое поле для маневров) и пустить через себя транзит.
4) на уровне приложений фишинг, подломы DNS уже стал притчей во языцех, так там ещё и сами приложения отлично ломаются.
А где-то есть ещё MPLS, зеркалирование трафика (так называемое lawful interception), серверы для работы со всем этим хозяйством...
