Mislim da windows socket-i ne daju potrebnu slobodu da se napravi jedan skalabilan firewall ili sniffer.
Za tako nesto je potreban packet driver koji "radi" ispod IP sloja.
Dobar pocetak koji trazis je po meni http://winpcap.polito.it/
Tu se nalaze potrebne biblioteke za sniff-ovanje paketa, naravno ovo se odnosi na windows.
Inace WinPcap je besplatan.
We look into the net, and the net is growing wide and wider.
Vecina "firewall" programa za Win koristi ovu tehniku (i zato i ne radi dobro :) Npr. Zonealarm se moze ukloniti, neprimetno tako sto ga pomeris u layer vise (sporder.dll) i dalje sve radis bez njegovog znanja.
Takodje pogledaj "ndis miniport" na MSDN-u. Tako bi vec moglo da se napravi nesto ozbiljno, ali nije bas jednostavno.