Pokud chceš sledovat provoz v celém segmentu musíš mít kartu v promiskuitním režimu, pokud máte síť s přepínanou technologií, pak je lze využít ARP poisoning. Napiš podrobnosti co potřebuješ sledovat - jaké pakety apod...
Ethereal je dobrá volba, existuje ale hodně podobných SW, většinou využívají pod windows WINPcap, dobrý sniffer je třeba commview od Tamosoftu.