Para responder si el módulo sniffer se ejecuta en modo promiscuo de forma predeterminada, estoy haciendo una prueba en mi laboratorio ahora mismo y lo actualizaré aquí cuando haya terminado.
ACTUALIZAR
La respuesta finalmente sale como SÍ. El módulo sniffer realiza su captura en modo promiscuo.
Para realizar la prueba, instalé un win-xp-sp2 (10.10.10.101) vm en proxmoxVE (kvm virtual env). Lo agregué a un puente y agregué kali-linux (con ip 10.10.10.15) y algunas máquinas más (machine-a 10.10.10.100 y machine-b 10.10.10.110) al bridge. Después de ejecutar el exploit para netapi, comencé el módulo sniffer en el destino. El problema es que los puentes de Linux actúan como switches por defecto, así que de nuevo me encontré con el mismo problema. Solo pude ver las maquinas propias del tráfico y las emisiones. Ahora para hacer que un puente de Linux actúe como un concentrador y no como un conmutador, la antigüedad de la tabla de direcciones mac de los puentes debe establecerse en 0 (para que no tenga una tabla de direcciones mac en absoluto y el tráfico como las transmisiones que lo seden a todos los miembros. Para referencia, el comando es brctl setageing <bridgename> 0 . Una vez hecho esto, hice ping desde machine-b a machine-a y esto es lo que obtuve:
2013-08-28 21:22:03.000000 ARP, Request who-has 10.10.10.100 tell 10.10.10.110, length 46
2013-08-28 21:22:03.000000 ARP, Reply 10.10.10.100 is-at 2e:76:03:d3:b9:72, length 46
2013-08-28 21:22:03.000000 IP 10.10.10.110 > 10.10.10.100: ICMP echo request, id 11328, seq 1, length 64
2013-08-28 21:22:03.000000 IP 10.10.10.100 > 10.10.10.110: ICMP echo reply, id 11328, seq 1, length 64
2013-08-28 21:22:04.000000 IP 10.10.10.110 > 10.10.10.100: ICMP echo request, id 11328, seq 2, length 64
2013-08-28 21:22:04.000000 IP 10.10.10.100 > 10.10.10.110: ICMP echo reply, id 11328, seq 2, length 64
2013-08-28 21:22:08.000000 ARP, Request who-has 10.10.10.110 tell 10.10.10.100, length 46
2013-08-28 21:22:08.000000 ARP, Reply 10.10.10.110 is-at 22:06:8c:52:9f:c5, length 46
Como puede ver, nada de lo anterior debe ser visto por xp2 vm aparte de ARP que tiene paquetes. Por lo tanto, puedo decir con seguridad que todos los paquetes que de alguna manera llegan a la interfaz que se está rastreando están efectivamente grabados por el módulo sniffer y definitivamente se están ejecutando en modo promiscuo.
Información general pero importante
Los conmutadores envían paquetes destinados a direcciones IP en las que tiene una entrada ARP en hosts remotos por solo. El host remoto enviará el paquete con una dirección MAC de destino según su tabla ARP y un switch solo lo enviará al puerto donde se encuentra esa dirección MAC. Por lo tanto, incluso en el modo promiscuo, solo verá los paquetes destinados explícitamente a su IP o las transmisiones que se envían a todos los puertos conectados al conmutador en el mismo dominio de colisión (VLAN y subred).
Por otra parte, los concentradores duplican los datos recibidos desde cualquier lugar a todos los puertos, independientemente de la dirección MAC de destino, ya que no son lo suficientemente inteligentes como para saber en qué puerto está disponible la dirección MAC de destino. Esto provoca que el tráfico entre otras máquinas también sea enviado a usted y este es probablemente el caso que esperaba, pero según lo que describió, el conmutador virtual actúa como un switch semi-inteligente con una tabla MAC y el comportamiento es el descrito en el primer párrafo.