Ik heb ooit eens zitten stoeien met een pakketje dat werkte met ARP-poisoning. Daarmee kun je ook in een geswitched netwerk sniffen. Je "vergiftigt" dan de ARP-tabel van iemand door het MAC-adres van de sniffende machine te koppelen aan het IP-adres van de router. Dit was trouwens tijdens een cursus die ik gaf over TCP/IP, dus niets illegaals, alleen ter demonstratie.
Daardoor stuurt de client-machine alle pakketjes voor de router naar de sniffermachine. Die moet het dan op zijn beurt wel weer goed afleveren bij de router.
Of het makkelijk is en bruikbaar? Ach, als je persé wilt, dan kun je dataverkeer wel afluisteren.