如果您可以控制网络，则可以通过使用 vlan 作为 span 端口的目标远程嗅探流量，然后将其中继到您需要的地方。您也可以使用 GRE 隧道在路由网络上执行此操作，但您必须控制网络。

1) 如果您可以控制网络，您应该能够捕获 100%

2) 您可以使用 IPSec 从主机到主机或在连接到服务提供商的路由器上加密 WAN 连接，以防止服务提供商查看数据.

3) 这听起来更像是您担心工作站上的间谍软件。如果您在包装盒上安装了恶意软件，那么您还可以做什么并不重要。你需要清洁盒子。

IP 是一种寻址机制，位于 OSI 模型的第 3 层。根据定义，您可以“嗅探”这些数据包的唯一方法是您位于路由器本身的路径中。

因此，只要您在广播媒体（例如某些以太网拓扑或 wifi）上没有定向安全功能，您就可以成功地嗅探 LAN 上的数据包。除非您坐在电信设施的核心路由器前，或者您成功地将路由引入 Internet，否则您没有机会在多个网络中捕获随机数据包。

这里的链接故事很有趣，因为它显示了这些路线的动态性。互联网应该能够容忍路由故障，因此它会不断地移动。确实存在意外或恶意创建核心路由的能力。您基本上可以捕获 100% 的流经该路由的流量，这与捕获 100% 的特定数据包流不同。单个 IP 数据包可以沿不同的路线到达。一旦您的数据包离开您的计算机，它们就会受到中间路由器的影响。

当您可以选择时，请始终使用 SSL/TLS 等加密协议。

当您与接收方或发送方不在同一个 LAN 上时，一种捕获 Internet 上的远程流量的方法是使用 BGP 劫持。Kapela 和 Pilosov 在 Defcon 16 上就这个主题做了精彩的演讲：http ://www.securitytube.net/video/173

该攻击需要攻击者控制一个 AS。他可以向他的同伴发送具有有利属性的虚假前缀公告，以便他们选择通过他为受害者路由流量。这些公告将会传播，并且攻击者可以捕获大部分（甚至全部）本来是为他的受害者准备的流量。为了将流量传递给受害者，攻击者需要保持他的一个对等方“干净”，这样他就可以将流量转移到那里。

攻击很复杂，取决于很多因素。就流量而言，互联网不是一个可预测的地方。然而，Kapela 和 Pilosov 成功地现场演示了捕捉 Defcon 场地的流量。另一个著名的例子是 2008 年巴基斯坦意外劫持了 YouTube 流量（http://www.circleid.com/posts/82258_pakistan_hijacks_youtube_closer_look）。中国被指控劫持了美国大部分互联网流量（http://bgpmon.net/blog/?p=282）。

防止这种情况的一种方法是使用端到端加密，例如使用 SSL 或 IPSec。还有一些尝试使 BGP 更安全的举措（SBGP、SOBGP）。

我不确定您的问题到底是针对什么 - 如果您的意思是“远程攻击者能否仅通过监视 WAN 端口来查看我的 LAN 流量”，答案是否定的，除非他们控制该路由器或您的路由器已设置广播一切（不正常）

至于你的具体情况：

成功率是多少，我的意思是你会捕获多少百分比的数据包？

如果您在路径中，您可以捕获 100%，但正如@greg 所说，该路径可能会移动

如果有人可以通过嗅探 WAN 连接来捕获来自该 LAN 的所有数据包，那么保护本地 LAN 有什么好处？

他们不能。

有什么方法可以防止这种情况发生，以及是否有方法可以防止攻击者知道我的 DNS 查询并由此知道我正在浏览哪些网站。

如果他们很接近，他们可以找到您的 DNS 查询。