Ethernet compartida: antiguamente, las redes Ethernet eran redes compartidas, utilizando medios compartidos o hubs para conectar los nodos Ethernet, lo que significa que todos los nodos de la red podrían recibir todos los paquetes. Por lo tanto, si un adaptador Ethernet en una red de este tipo se pone en modo promiscuo, todos los paquetes de la red serán vistos por ese adaptador y, por consiguiente, se pueden capturar con ese adaptador, como se muestra en la siguiente figura.

Ethernet conmutada: un switch Ethernet hará lo mismo que el hardware del adaptador Ethernet mencionado anteriormente, pero dentro del switch. Puede inferir, a partir del tráfico visto en un puerto de switch, qué dirección o direcciones de Unicast utiliza el adaptador conectado a ese puerto, y reenviará a ese puerto solo el tráfico de Unicast enviado a esa dirección o direcciones, así como todos los paquetes Multicast y Broadcast en la red. Como los paquetes Unicast no enviados a ese host no se pondrán en el puerto del switch al que el adaptador del host está conectado, ese adaptador no tendrá esos paquetes, por lo que poner el adaptador en modo promiscuo no puede hacer que entregue paquetes a ese host, y no verá esos paquetes, aunque capture en modo promiscuo, como se puede ver en la siguiente figura.

Con un hub (concentrador) Ethernet disponible, se conecta dentro de la línea Ethernet de la que desea capturar. Esta podría ser la línea entre un switch (conmutador) y un nodo, o entre dos switches, como se muestra en la siguiente figura.

Algunos switches Ethernet, generalmente llamados switches gestionados (managed switches) tienen un modo monitor. Los switches administrados han sido caros en el pasado, pero ahora se pueden encontrar algunos modelos por menos de 100 $. Este modo monitor puede dedicar un puerto para conectar su dispositivo de captura (Wireshark).

Una máquina con dos tarjetas de interfaz de red (Network Interface Card, NIC) puede utilizarse como un puente transparente, capturando todo el tráfico hacia y desde una sola máquina o un segmento de red. En Linux, puede utilizarse brctl (brcfg en sistemas más antiguos); bajo la familia BSD, brconfig. Aparentemente, Windows XP y Server 2003 también permiten crear configuraciones puente; en términos de tráfico de red puede resultar más difícil hacer una instalación de Windows «tranquila» que de Unix. Ejecutar Wireshark en solo uno de los NIC es suficiente para capturar todo el tráfico.

Varios vendedores ofrecen los TAP de red, que pueden conectarse a una línea. Existen diferentes tipos de TAP, tales como TAP de ruptura, TAP de agregación, TAP de replicación, TAP de derivación y TAP de cambio de medios. Los TAP de ruptura tendrán cuatro conectores: dos para la línea existente y dos salidas para ambas direcciones del tráfico EthernetFullDuplex, como puede verse en la siguiente imagen.

Para capturar paquetes que van entre dos equipos en una red conmutada, se puede usar un ataque MITM (ARP Poisoning, Envenenamiento ARP). Este tipo de ataque engañará a los dos ordenadores haciéndoles pensar que la dirección MAC a la que envían es la dirección MAC de la máquina atacante. Esto a su vez hará que el switch desvíe todo su tráfico a la máquina atacante, donde se puede capturar, y luego reenviar de vuelta el tráfico a la red, hacia la verdadera máquina destino, como si nada ocurriera. Este tipo de ataque puede causar estragos en algunos switches y algunas LAN así que hay que usarlo con cuidado. La siguiente figura muestra el esquema de dicho proceso.

Los conmutadores (switches) mantienen una tabla de traducción que asigna varias direcciones MAC a los puertos físicos del conmutador. Como resultado de esto, un switch puede encaminar inteligentemente paquetes de un host a otro, pero tiene una memoria limitada para este trabajo. La inundación MAC hace uso de esta limitación para bombardear el conmutador con direcciones MAC falsas hasta que el switch no pueda mantenerse actualizado.