Isso é provavelmente porque um switch envia apenas tráfego para uma porta, se ele acredita que o endereço MAC de destino está conectado a essa porta.
Em um switch gerenciado, você configuraria o modo monitor.
Em um switch não gerenciado, você tem algumas opções:
- ARP spoofing, para enganar o resto da rede sobre qual endereço MAC corresponde ao endereço IP de destino. Você então reenvia os pacotes com o endereço MAC correto.
- Inundando o comutador com endereços MAC suficientes que desiste e encaminha todos os pacotes para todas as portas. Pode ou não funcionar.
- Substituir o comutador por um hub (sempre encaminha todos os pacotes para todas as portas, mas também apenas meio dúplex e várias outras desvantagens) ou um comutador gerenciado. Uma caixa unix com portas Ethernet suficientes pode funcionar como um switch gerenciado.
- Se você se importa apenas com o tráfego da Internet, execute
tcpdump
no gateway. - Instale um toque na rede no cabo Ethernet indo até a máquina que está enviando ou recebendo o tráfego que você deseja monitorar
As ferramentas dsniff arpspoof
e macof
implementam as duas primeiras.
(Eles também podem derrubar sua rede e exigir que você reinicie vários equipamentos de rede. Como sua própria rede, esse é o seu negócio; fazer isso na rede de outra pessoa - pelo menos sem a permissão deles) seria considerado qualquer coisa de extremamente indelicado para absolutamente ilegal.)