wireshark ( tshark é a versão da linha de comando) é um sniffer poderoso que pode decodificar vários protocolos, muitos filtros, ao contrário do ngrep, que é semelhante a tcpdump , mas tem a capacidade de procurar expressão regular na carga útil do pacote e mostra os pacotes correspondentes em uma tela ou console.
Ele permite que os usuários vejam todos os tráfegos não criptografados sendo transmitidos pela rede, colocando a interface de rede no modo promíscuo dixit wikipedia. Além disso, o ngrep também pode ser usado para capturar o tráfego na rede e armazenar arquivos de despejo do pcap ou para ler arquivos gerados por outros aplicativos do sniffer, como tcpdump ou wireshark .