Chụp gói hoàn toàn đơn giản là quá trình tìm kiếm các gói dữ liệu đang đi qua mạng máy tính.Với việc thu thập gói thông thường, chỉ có dữ liệu phụ có trong tiêu đề gói, chẳng hạn như thông tin địa chỉ hoặc định dạng giao thức Internet (IP) của gói, được thu thập.Trong trường hợp thu thập gói sâu (DPC), toàn bộ gói, cả thông tin tiêu đề cũng như tải trọng dữ liệu thực tế, được thu thập.Quá trình này cũng thường được gọi là đánh hơi gói.

Bất kỳ phương pháp nào của việc thu thập gói, quá trình có thể diễn ra trên bất kỳ lớp nào của mô hình kết nối hệ thống mở (OSI) trên lớp một, lớp vật lý, vì lớp vật lýChỉ hoạt động với các bit dưới dạng tín hiệu điện.Chụp gói không xảy ra cho đến khi các luồng và số không được chuyển đổi trở lại thành các gói dữ liệu mà sau đó có thể được thu thập.Trên bất kỳ giao diện mạng nào, bộ sưu tập chỉ có thể xảy ra cho các gói dành cho địa chỉ thuộc giao diện đó trừ khi giao diện được cấu hình cho cái được gọi là chế độ lăng nhăng.Một giao diện mạng hoạt động bừa bãi có khả năng nắm bắt không chỉ các gói riêng của nó, mà cả những người được định sẵn cho người khác. Khi một quản trị viên mạng muốn có được các gói đi qua giao diện mạng, anh ta có tùy chọn bộ sưu tập hoàn chỉnh hoặc một bộ sưu tập hoàn chỉnh hoặcBộ sưu tập được lọc.Một bộ sưu tập hoàn chỉnh không có ranh giới, vì vậy bất kỳ và tất cả các gói băng qua giao diện đều được lấy.Tuy nhiên, khi lọc các gói, chúng được đánh giá khi chúng đi qua giao diện và chỉ các gói nhất định đáp ứng các tiêu chí cụ thể được thu thập.Điều này cho phép quản trị viên chỉ lưu trữ các loại gói mà anh ấy quan tâm hoặc các gói hướng đến các địa chỉ nhất định.Các bộ sưu tập được lọc cũng bảo tồn tài nguyên phần cứng và có thể được sử dụng để làm tròn các gói có thể cần thiết sau này để chứng minh khả năng phạm tội. Có nhiều mục đích đằng sau việc thu thập gói, tất cả đều xoay quanh khái niệm kiểm tra gói sâu (DPI).Khi các gói được thu thập, chúng được kiểm tra và phân tích vì nhiều lý do, hầu hết trong số đó liên quan đến phát hiện xâm nhập, bảo mật dữ liệu và tính toàn vẹn hoặc hiệu suất mạng, mặc dù một số mục đích chính của việc thu thập gói tồn tại.Do đó, mối quan tâm mạnh mẽ về quyền riêng tư có thể phát sinh khi xem xét việc thu thập và kiểm tra gói sâu.Khi quá trình phân tích cần diễn ra, nó có thể xảy ra ngay lập tức, vì các gói thực sự đang di chuyển trên giao diện để phần mềm thu thập và kiểm tra gói có thể đưa ra quyết định.Ngoài ra, chúng có thể được lưu trữ trên một ổ cứng máy tính vô thời hạn.Trong trường hợp phân tích thời gian thực, các gói chỉ có thể được đánh giá chống lại các vấn đề hoặc mối quan tâm về bảo mật đã biết, trong khi khi được thu thập trong kho, chúng có thể được phân tích sau bằng các chuyên gia pháp y dữ liệu để giúp xác định khi nào hoặc làm thế nào một vi phạm bảo mật.Có rất nhiều chương trình chụp gói có sẵn.Một số nhà sản xuất phần cứng mạng bao gồm khả năng trong các thiết bị của họ, chẳng hạn như các tính năng chụp gói tích hợp trong Hệ điều hành Internet (IOS), được cung cấp trên Cisco Systems phần cứng.Thuốc thu hơi gói tồn tại dưới nhiều hình thức, tuy nhiên, từ bộ sưu tập đơn giản đến phân tích chi tiết hơn.Nhiều người đánh hơi gói phổ biến nhất là các dự án phần mềm nguồn mở như Wireshark và WinPCAP, không chỉ nắm bắt các gói mà còn xử lý các nhiệm vụ kiểm tra và phân tích gói.Họ được cập nhật thường xuyên bởi một cộng đồng đa dạng để theo kịp các vấn đề bảo mật gần đây nhất.