La fenêtre de Wireshark se divise en 3 parties :
En haut, principalement en vert, les trames qui ont circulé sur le réseau sont affichées synthétiquement sur une ligne. Chaque ligne contient :
le numéro de trame capturée, il s'agit d'une information ajoutée par Wireshark,
l'heure de capture de la trame. Cette information est aussi ajoutée par Wireshark,
l'adresse IP de la machine à l'origine du paquet,
l'adresse IP de la machine destinataire du paquet,
le protocole de plus haut niveau contenu dans la trame. Cela peut être TCP si le message TCP ne contient pas de données, comme lors de l'ouverture de connexion, ou de certains acquittements.,
la taille en octets de la trame capturée par Wireshark,
finalement Wireshark fourni un résumé du contenu de la trame, pour comprendre ce qui se passe sur le réseau. Dans la capture, on retrouve pour les messages HTTP, les requêtes GET ou les notifications;
Si une trame est sélectionnée dans la liste, elle apparaît dans le panneau du milieu avec l'empilement protocolaire. Le contenu de chacun de ces protocoles peut être détaillé en cliquant sur le petit triangle à gauche ;
Le panneau du bas donne l'équivalent en hexadécimal. Les parties surlignées correspondent aux champs sélectionnés dans la fenêtre du milieu. À noter que l'on retrouve l'information à la fois en hexadécimal et en caractère ASCII, ce qui aide à la lecture quand on cherche une valeur spécifique.