Normalmente suelo Sniffar con Cain & Abel y me surje una duda ...

Cuando hgao el Spoofing por normal general seleciono la IP de la puerta de enlace o del servidor y el Ip de la Victima. es decir que recoja todo el trafico entre la puerta de enlace y el equipo de la vitima.

Si seleciono la Ip de la puerta de enlace y y todas las IPs de la red se produce un DOS ( ya que el no se para de enviar y recibir paquetes constantemete)

Ahora bien.. mi pregunta es..
Pues hacerlo al reves ?
Supongamos.. tengo 5 equipos que quiero Snifar.. pues selecciono esos 5 equipo y posteriro mente la IP de la puerta de enlace..

Nose si me explico:

Dejo un pequeño esquema.

Situación1
                           
Puerta de enlace ------Spoofing----->Victima/as (si seleciono toda la red, se colapsa)

Situación 2

Victima1----
Victima2      ----
Victima3            ---- Puerta de enlace
Victima4      ----
Victima5 ----


Que sucedería en estae caso ?
Recojería la mma información, o nada?
Que información recojería.. entre todos los equipo.. o entre cada uno de los equipos victima y la puerta de enlace ?

La verdad que siempre había utilizado CAin & Abel, porque tampoco tengo unos conocimientos muy avanzados, y es una herramienta bastante intuitiva.

Intentaré lo que me dices con Backtrack 4.

Otra duda que me surje
¿Se puede detectar un escaneamiento de la red?
¿Como?