Es muy fácil, solo debe "snifar" el tráfico. En los paquetes cabeceras viene Info como la IP. Se usa Wireshark para analizar dichos paquetes y obtener la info.
En este ejemplo puede apreciar que se intercepta el tráfico en una intranet que es lo que él busca para analizarlo y sacar la IP.
Es muy parecido a que si Ud. está hablando en la sala de su casa con alguien y se le coloca un micrófono para capturar el sonido. Acto seguido se analiza para identificar lo que se dijo, cómo se dijo, sonidos de fondo, sexo de los integrantes, estado de ánimo, etc.
A modo de ejemplo fácil para que entienda.