Pour savoir ce qui se passe sur un réseau, le premier outil à utiliser est tshark. Il permet de capturer les paquets qui transitent par une interface et fournit une aide précieuse pour identifier les éléments fautifs. Wireshark, avec son interface graphique permet d'aller plus loin dans l'analyse protocolaire pour les initiés, mais il existe d'autres outils qui permettent des approches complémentaires en étant plus simples à utiliser.
La boîte à outils du bon administrateur réseau contient de nombreux outils permettant de répondre à des questions précises. Il y a des outils actifs qui peuvent analyser les équipements réseaux pour détecter les services ou matériels présents, mais inconnus (bug, service non référencé ou plus rarement intrusion). Les premiers outils sont nmap, ping et traceroute. Il en existe de nombreux autres qui vont jusqu’aux détecteurs de vulnérabilités.
D’autres outils sont passifs et ne créent pas de trafic réseau. Les premiers outils sont les analyseurs de trafic (ou sniffers) comme tcpdump ou tshark. Il en existe bien d’autres comme