Как Wireshark перехватывает чужие пакеты, если они идут unicast'ом с ПК1 на ПК2?

Некоторые демшанские свитчи при перегрузке автоматически переключаются в режим хаба, чтобы пакеты не терять. Возможно это твой случай

бОльшая часть коммутаторов отправляет их на все порты с указаным МАС-адресом.

Тебе достаточно раз в 300 секунд посылать со своего порта пакеты с адресом источника соседей чтобы видить трафик соседей.

Либо перегрузить МАС-таблицу коммутатора и он станет хабом.

Ужос, кокая страшная истина про коммутаторы.

бОльшая часть коммутаторов отправляет их на все порты с указаным МАС-адресом.

Фраза неправильно построена. :-)

Не бОльшая, а, наверное, все, где MAC может присутствовать в таблице более, чем на одном порту. Только вопрос, а такие есть, кто не вычищает MAC с других портов при прилёте его с другого интерфейса? Хотя, может, и есть.

Ну и не «порт с другим MAC-адресом», а «порт, где в таблице MAC-ов для него есть нужный MAC».

А как тогда Wireshark может перехватить пакеты, которые адресованы не ПК1? Ведь эти же пакеты не идут в порт 1 свитча, правильно?

А он прям все перехватывает, или только некоторые? А то есть и третий вариант: когда коммутатор не знает, где MAC, он тоже во все порты пакет пуляет. Но это не долго, до первого ответа.

Вот и открыл суть MitM. Да, нужно врезаться в линию. Получать доступы к сетевому оборудованию, ставить левые шлюзы и прочее.

Есть 4-ый вариант. У тебя управляемый коммутатор, и кто-то на нём втихаря настроил зеркалирование трафика. :-)