hi,

1. Jeder, der mit einem Traffic-Monitor an Deine "Leitung" kommt.

Was heißt meine Leitung? Die der Kunden?

Leitung = die Strecke, auf der die Daten vom Rechner deines Kunden bis zu deinem Server hin- und hergeschickt werden.
Wie schon gesagt, da sind mehrere "Hops" zwischen, das ist ja keine direkte Verbindung. traceroute ist ein Stichwort, dass dir ja vermutlich was sagen dürfte.

D.h. jemand der die Daten möchte, muss von jedem Kunden der bestellt die IP kennen? Das klingt schon mal fast unmöglich.

Ich muss nicht unbedingt wissen, wo die Daten herkommen, wenn ich weiss, wo sie hingehen - und das weiss ich, das ist dein Server, über HTTP und vermutlich auch "öffentlich" erreichbar. Also sehe ich zu, dass ich meinen Angriffspunkt möglichst nah an den heranlege.

2. Jeder Hop

Über dem vermutlich ein sehr sehr grosse Menge von Daten laufen, also auch hier  ist der Datenklau nur möglich mit Kenntnisse über die IP?
Oder könnte man dort über die Domain filtern? vermutlich nicht, oder?

Die _Ziel_-IP ist eine absolut zentrale Information in einem TCP/IP-Paket - ohne die wüsste ich als Hop ja gar nicht, wohin ich es weitersenden sollte.
Die muss ich also sowieso "lesen" - dabei dann noch einen kleinen Filter mitlaufen zu lassen, bringt mich von der Performance her nicht um.
Gut, wenn du deine Domain in einer Shared-Hosting-Umgebung laufen hast, geht mir da noch mehr als nur der Traffic zu deiner Domain ins Netz. Ob ich das schon vorher berücksichtige - in den HTTP-Request reinschaue, Host-Header auswerte - oder ob ich mir erst mal alles zu der Server-IP abgreife, und nachher filtere - das ist egal.

Das heißt es muss eine kriminelle Energie und nach dem wie ich das obige verstehe auch eine gehörige Portion Sachkenntnis und Infrastruktur vorhanden sein um relativ harmlose Daten abzugreifen.

Also brauche ich keine SSL Verbindung?

Wenn du glaubst, das solche Angriffe nur von jemandem kommen können, der normalerweise nicht "auf der Strecke" zwischen Client und Server eingebunden ist - dann denk auch daran, dass es auch jemand sein kann, der schon "drin" ist, und dem du eigentlich bisher vertraut hast (direkt oder indirekt). Auch ein Mitarbeiter mit administrativem Zugang zu den relevanten Systemen bei irgendeinem in der Kette hängenden Service-Provider kann kriminelle Energie entwickeln, oder wegen eines Alkohol- oder Spielsucht-Problems erpressbar sein, etc. pp.
(Ja, das kann dir direkt am Endpunkt, wo du deinen Server gemietet hast, natürlich auch passieren. Aber da hast du selbst Einfluss auf die Auswahl des Betreibers, Vertrauen ist also u.U. gerechtfertigter, als gegenüber anderen Firmen in der Mitte der Strecke, die du nie namentlich kennenlernen wirst.)

gruß,
wahsaga