Le mode moniteur n'est pas pris en charge par WinPcap, et donc pas par Wireshark ou TShark, sous Windows. Il est pris en charge, pour certaines interfaces au moins, sur certaines versions de Linux, FreeBSD, NetBSD, OpenBSD, BSD DragonFly et Mac OS X.
Si vous exécutez Wireshark version 1.4 ou ultérieure sur un système * BSD, Linux ou Mac OS X et qu'il est construit avec libpcap 1.0 ou version ultérieure, pour les interfaces prenant en charge le mode moniteur, une case à cocher "Mode moniteur" apparaît dans les options de capture. fenêtre dans Wireshark et une ligne de commande -I pour dumpcap, TShark et Wireshark.
Dans Wireshark (OS pris en charge), si la case à cocher "Mode moniteur" n'est pas grisée, cochez cette case pour capturer en mode moniteur. S'il est grisé, libpcap ne pense pas que l'adaptateur prend en charge le mode moniteur. S'il ne s'agit pas d'un adaptateur 802.11, il ne peut pas prendre en charge le mode moniteur. S'il s'agit d'un adaptateur 802.11, celui-ci ne prend pas en charge le mode de contrôle, son pilote ne prend pas en charge le mode de contrôle ou un bogue dans libpcap l'empêche de penser que l'adaptateur et le pilote prennent en charge le mode de contrôle.
Certains adaptateurs sans fil conviennent mieux à la détection de paquets que d’autres. Tous les adaptateurs ne peuvent pas correctement détecter et signaler les erreurs et d’autres ont des pilotes qui ne sont pas très adaptés au reniflage de paquets. Les cartes Cisco Aironet, les cartes Prism II et les cartes Orinaco Silver et Gold sont considérées comme les meilleures cartes pour la surveillance, mais ce ne sont que quelques-unes des nombreuses cartes dotées des capacités et des pilotes appropriés. Recherchez les cartes disponibles pour le système d'exploitation à utiliser et les procédures nécessaires à l'installation de leur pilote avant d'acheter une carte.