Uma maneira de conseguir o que você quer é usar uma ferramenta de envenenamento arp, como o Ettercap. Você deve poder usar o Wireshark / tcpdump as informações que você precisa.
O problema que você tem é que um switch Ethernet é projetado para que ele aprenda os endereços MAC em cada porta e use isso para "rotear" os quadros Ethernet para a porta correta com base em seu endereço MAC. Isso é para reduzir colisões associadas a hubs Ethernet (algo que você raramente vê nos dias de hoje). Portanto, você verá apenas quadros Ethernet destinados ou originados de sua NIC, incluindo quadros Ethernet de transmissão, como ARP, mas não tráfego estrangeiro. Isso é bom:)
A maioria dos switches gerenciados (não um desktop estúpido) permite que você designe um espelho de porta para que todos os quadros Ethernet sejam replicados em uma porta específica onde você pode anexar uma máquina em modo promíscuo e capturar quadros Ethernet "estrangeiros" usando tcpdump / Wireshark.
Isso ainda não permite que eles sejam capturados pelo Wireshark / tcpdump, no entanto. Então você precisa de uma maneira de agir como uma ponte Ethernet entre os hosts interessantes e seu gateway, mas sem estar fisicamente no caminho. Digite Ettercap que é uma ferramenta de envenenamento arp. Ele engana seus hosts interessados (eo switch) que o endereço MAC da sua máquina agora possui o IP do gateway IP antigo enviando um "arp gratuito". As máquinas interessantes enviam involuntariamente todo o tráfego destinado à rota / padrão para a sua máquina. Sua máquina agora encaminhará pacotes através de sua pilha IP como se fosse o gateway.
Quando isso não funciona, é quando a "segurança da porta" é ativada no comutador, uma prática não incomum. Isso é para parar o envenenamento por arp bloqueando arpejos gratuitos em que um IP está se movendo de uma porta Ethernet para outra.