Wireshark обрабатывает и анализирует пакеты TCP в реальном времени следующим образом: программа перехватывает входящие и исходящие TCP-пакеты и благодаря встроенным функциям мониторит их содержимое, ищет ошибки. 4

Для анализа TCP-соединений в Wireshark нужно щёлкнуть правой кнопкой мыши по интересующему пакету и выбрать в контекстном меню команду Conversation filter > TCP. 1 После этого программа покажет другие пакеты из того же TCP-соединения, к которому принадлежит тот пакет, по которому щёлкнули. 1

Чтобы понять, чем именно является конкретный пакет, Wireshark использует номера портов. 1 Например, если программа видит трафик на порте 80, она решает, что это HTTP-трафик. 1 Однако иногда HTTP-соединения используют необычные порты, и тогда для распознавания Wireshark нуждается в подсказках. 1 Их можно давать программе, вызывая контекстное меню пакета и выбирая там команду Decode as. 1

Для просмотра содержимого пакетов в Wireshark есть режим просмотра подробных сведений о пакете, с помощью которого можно разобраться в содержимом любого пакета. 1

Также программа поддерживает мощный язык запросов, что упрощает поиск конкретных пакетов в списках. 1 Например, запрос frame contains «mozilla» позволяет выполнить поиск строки mozilla в любом месте пакета и вывести список найденных пакетов. 1