Las autentificaciones en windows se realizan con: LM, NTLMv1, NTLMv2, NTLM Session, NTLMSSP, Kerberos. Entre otras pero estas són las que más utiliza, algunas estan desfasadas como ya sabreis. Si se os ocurre alguna otra comentadla.
Se utiliza en estos protocolos normalmente:SMB,DCE/RPC. Estos otros que supongo se usaran en entorno servidor ms: SMTP,POP3,IMAP,HTTP.
Un sniffer que soporte las autentificaciónes de arriba es Cain&Abel, si el arxiconocido.
Con wireshark he encontrado esto:
http://www.wireshark.org/docs/dfref/n/ntlmssp.htmlEs el filtro para ntlmssp, en este momento no estoy muy enterado de en que sistema se utiliza pero me parece que utilizan Kerberos normalmente los servidores si tienen en cuenta las advertencias de seguridad.
Supongo que puedes hacerlo con wireshark, pero tendras interpretar los paquetes manualmente con algun programa tal vez o investigar como funciona la autentificación que quieras olisquear.
Bueno nada solo era para dar un poquito de información.
Saludos.
EDITO:
Para linux hay un modulo en metasploit y supongo que con wireshark tienes que filtrar los SMB, para que te llegue tendras que hacer envenenamiento, no lo he probado.
Este es el modulo para metasploit:
http://www.offensive-security.com/metasploit-unleashed/Capture_SMB