El router maneja capa 3 es decir nivel IP, luego esto es traducido ya sea por el mismo router a nivel IP a una local que en el paquete tiene tanto la IP local (LAN) como la mac address. Ahora bien, si tienes un switch detras del router, este se encarga en comparar segun su tabla de mac address el host al que debe ir la informacion solicitada.
La verdad no me queda muy claro como estas haciendo eso...tienes un subneteo en el router? usas vlans en el switch? que es lo que quieres hacer con la maquina virtual? podrias poner la topologia tal cual la tienes?
Y la mas simple, si puedes graficar el consumo del ancho de banda, le puedes remitir los resultados a tu ISP quien debe tomar las medidas correctivas a fin de evitar estos ataques.
Para hacer una captura de manera correcta normalmente deberia elegirse un host luego de sniffear la red. En capa 2 la autenticacion se realiza a nivel mac, luego si tienes todas las macs como hace el router para saber cual es real? no seria mas logico pensar que vas a realizar un flooding?, a nivel IP (capa 3) es posible pensar eso que dices.