Wireshark ha un'impostazione chiamata "modalità promiscua", ma che non abilita direttamente la funzionalità sull'adattatore; piuttosto avvia il driver PCAP in modalità promiscua, cioè dicendogli di processare i pacchetti indipendentemente dal loro indirizzo di destinazione se l'adattatore sottostante li presenta. Ciò è più evidente sulle reti cablate che utilizzano hub anziché switch, dove in modalità non promiscua vedrai solo il traffico broadcast e i pacchetti unicast verso l'indirizzo della tua scheda, ma in modalità promiscua vedrai tutto - in entrambi i casi l'adattatore sta ricevendo ogni pacchetto sulla rete, ma in modalità promiscua il driver PCAP non filtra i pacchetti non destinati all'adattatore.
L'esecuzione di una scheda WiFi in modalità promiscua richiede lavoro e supporto aggiuntivi da parte del driver. Normalmente un driver implementerebbe solo il codice necessario per ricevere ed elaborare i frame 802.11 destinati a ricevere. Affinché la modalità promiscua funzioni, il driver deve implementare esplicitamente funzionalità che consentano di elaborare ogni frame 802.11 associato al punto di accesso attualmente connesso, destinato a tale ricevitore o meno. C'è anche un'altra modalità chiamata "modalità monitor" che ti permette di ricevere tutti i frame 802.11 indipendentemente da quale AP provenga. Entrambi richiedono un'implementazione esplicita.
Sfortunatamente, i dispositivi che implementano questi non sono economici. Al momento penso che solo AirPAP sia completamente supportato per questo tipo di lavoro, e costa oltre $ 500.
Vale anche la pena notare che non è possibile individuare il traffico di rete di altri utenti su una rete che utilizza WPA2, poiché ogni client scambia la propria chiave di sessione per crittografare le comunicazioni radio tra esso e il punto di accesso. Sarai in grado di annusare le intestazioni dei frame 802.11 e alcuni pacchetti di manutenzione, ma i payload della rete effettiva verranno crittografati.