Primeiramente, baixe o Wireshark, em Linux use o apt-get, em Windows baixe nesse link: https://www.wireshark.org/#download
PS: É provável que a versão do Npcap do Windows que vem com o Wireshark esteja desatualizada, se for o caso baixe aqui: https://nmap.org/npcap/#download
Nele, vemos primeiramente as placas de rede disponíveis no nosso computador. Clique nela, e veremos todas as atividades da nossa rede, abra o navegador com o programa aberto para vermos a atividade.
A barbatana do tubarão inicia a captura de pacotes, para parar clique no quadrado vermelho. Vemos os IPs de origem (source) e destino, protocolos e outros dados. Abaixo dele tem os dados do pacote, como os MACs de destino e outros dados. Para ver os dados de um determinado IP, clique nele.
Podemos ver por exemplo, no filtro, os pacotes de um determinado protocolo, por exemplo, o ARP.
Podemos salvar o arquivo de análise também e ver em outro computador.
PS: Podemos por exemplo, dar um ping na linha de comando do sistema e analisar os requests e replys deste.
Para pegar apenas informações de um determinado IP, digitamos no filtro ip.addr == 192.168.0.1 (substituindo pelo IP desejado), para ver os resultados desse IP de uma cor destacada.
Para vermos apenas resultados com esse determinado IP de origem, digitamos ip.src == 192.168.0.1, e pegar esse IP de destino, digite ip.dst == 192.168.0.1.
Para colocar algo que queremos que não seja exibido, usamos o mesmo filtro, mas com um ponto de exclamação, que significa negação, por exemplo !(ip.addr == 192.168.0.1).
Para não mostrar tráfegos de um determinado protocolo, podemos usar por exemplo not tcp, para mais de um podemos ser por exemplo not tcp and not arp. Como visto, podemos colocar operadores como and, or e not também, tanto com o nome literal quanto no padrão C (&&, || e !).
Podemos filtrar um determinado protocolo usando os comandos como por exemplo tcp.port == 80 para filtrar o tráfego HTTP (podendo nesse caso ser diretamente pesquisado apenas http também). Outros filtros podem ser usados (inclusive com negação), para protocolos como FTP, SSH, entre outros.
Clique com o botão direito em um os pacotes e em Follow e TCP Stream, você terá acesso ao código binário do programa. Se permitido, teremos outras opções disponíves, como UDP Stream e TLS Stream.
Para usar o Tshark via linha de comandos, usamos dessa forma:
tshark -D # Mostra as interfaces
tshark -i NomeDaInterface "tcp port 80" # Usamos um filtro igual na interface gráfica
tshark -i NomeDaInterface -w arquivo.pcapng # Salva num arquivo
tshark -r arquivo.pcapng # Lê um arquivo no terminal
Podemos usar vários filtros, inclusive em conjunto, por exemplo:
tshark -r arquivo.pcapng "http"