Wireshark vangt pakketten op door netwerkinterfaces in promiscue modus te monitoren, waardoor het alle pakketten die door de interface gaan, kan onderscheppen en registreren. Wanneer Wireshark actief is, vangt het pakketten op door te luisteren naar het netwerkverkeer op de gespecificeerde interface of interfaces, waarbij zowel inkomende als uitgaande pakketten worden vastgelegd voor analyse.
Om HTTP-pakketten specifiek in Wireshark vast te leggen, kunt u een weergavefilter toepassen om zich op HTTP-verkeer te concentreren. Zodra u begint met het vastleggen van pakketten, kunt u de filterexpressie http gebruiken in de filterbalk bovenaan de Wireshark-interface. Dit filter geeft alleen HTTP-pakketten weer in het pakketlijstvenster, waardoor het eenvoudiger wordt om HTTP-verzoeken en -antwoorden die via het netwerk worden uitgewisseld, te analyseren.
Wireshark legt alle soorten netwerkverkeer vast dat via de netwerkinterface die het bewaakt, passeert. Dit omvat een breed scala aan protocollen en toepassingen zoals HTTP, HTTPS, FTP, DNS, TCP, UDP, ICMP en meer. Het kan verkeer uit verschillende lagen van het OSI-model vastleggen, waardoor gedetailleerde inzichten in netwerkcommunicatie worden verkregen en probleemoplossings- en analysetaken worden vergemakkelijkt.
Wireshark legt pakketten vast, geen frames. In netwerkterminologieën verwijst een pakket doorgaans naar een gegevenseenheid op de netwerklaag (laag 3 van het OSI-model), die headers zoals IP-adressen bevat. Frames daarentegen zijn gegevenseenheden op de datalinklaag (laag 2), die headers zoals MAC-adressen bevatten. Wireshark werkt op pakketniveau en verzamelt en analyseert datapakketten op Laag 3 en hoger, inclusief de payloads en headers van elk pakket.
Om datapakketten in Wireshark te bekijken, hoeft u alleen maar een pakketopnamesessie te starten op de gewenste netwerkinterface. Zodra pakketten zijn vastgelegd, geeft Wireshark ze weer in het pakketlijstvenster. U kunt vervolgens elk pakket in de lijst selecteren om de gedetailleerde informatie ervan te bekijken, inclusief de datalading, indien van toepassing. Met Wireshark kunnen gebruikers filters toepassen, naar specifieke pakketten zoeken en pakketdetails analyseren, zoals onder meer bron- en bestemmingsadressen, protocolinformatie en timinggegevens.