Wireshark（前稱Ethereal）是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包，並盡可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口，直接與網卡進行數據報文交換。

同類型的軟件有：cain、sniffer

WinPcap是用於網絡封包抓取的一套工具，可適用於32位的操作平臺上解析網絡封包，包含了核心的封包過濾，一個底層動態鏈接庫，和一個高層系統函數庫，及可用來直接存取封包的應用程序界面

Winpcap提供了兩個不同的庫：packet.dll 和wpcap.dll。

packet.dll提供一個底層的API，通過這個API可直接訪問網絡設備驅動，而獨立於Microsoft OS.

wpcap.dll是一個高層的強大捕獲程序庫，與Unix下的libpcap兼容。它獨立於下層的網絡硬件和操作系統

Wireshark 啟動界面

wireshark是捕獲機器上的某一塊網卡的網絡包，當你有多塊網卡的時候，你需要選擇一個網卡。

點擊 抓包->網絡接口 出現下面對話框，選擇正確的網卡。然後點擊"開始"按鈕, 開始抓包

窗口介紹

WireShark 主要分為這幾個界面

1. 顯示過濾器，用於過濾

2. 封包列表，顯示捕獲到的封包， 有源地址和目標地址，端口號。 顏色不同，代表

3. 封包詳細信息，顯示封包中的字段

4. 16進制數據

5. 地址欄，雜項

顯示過濾器

表達式規則

1. 協議過濾

比如TCP，只顯示TCP協議。

2. IP 過濾

比如

ip.src==192.168.1.102，源地址為 192.168.1.102

ip.dst==192.168.1.102，目標地址為 192.168.1.102

3. 端口過濾

tcp.port ==80, 端口為80的

tcp.srcport == 80, 只顯示TCP協議的源端口為80的

4. Http模式過濾

http.request.method=="GET", 只顯示HTTP GET方法的。

5. 邏輯運算符為 AND/ OR

封包列表

面板中顯示：編號，時間戳，源地址，目標地址，協議，長度，封包信息

不同的協議用了不同的顏色顯示，默認：

綠色是TCP報文，深藍色是DNS，淺藍是UDP，黑色標識出有問題的TCP報文：比如亂序報文。

封包詳細信息

這個面板是我們最重要的，用來查看協議中的每一個字段。

Frame: 物理層的數據幀概況

Ethernet II: 數據鏈路層以太網幀頭部信息

Internet Protocol: 互聯網層IP包頭部信息

Transmission Control Protocol: 傳輸層T的數據段頭部信息，此處是TCP

Hypertext Transfer Protocol: 應用層的信息，此處是HTTP協議

wireshark與OSI七層模型

TCP包的具體內容

分析TCP三次握手過程

我們用wireshark實際分析下三次握手的過程。

打開wireshark, 打開瀏覽器輸入 http://www.cnblogs.com/tankxiao

在wireshark中輸入"http"過濾， 然後選中GET /tankxiao HTTP/1.1的那條記錄，右鍵然後點擊"Follow TCP Stream",

這樣做的目的是為了得到與瀏覽器打開網站相關的數據包，將得到如下圖

圖中可以看到wireshark截獲到了“三次握手”的三個數據包。第四個包才是HTTP的， 這說明HTTP的確是使用TCP建立連接的。

第一次握手數據包

客戶端向服務器發送連接請求包，標誌位SYN（同步序號）為1，序號Seq為X=0

第二次握手的數據包

服務器收到客戶端發的報文，由SYN=1知道客戶端要求建立聯機。向客戶端發送一個SYN和ACK都為1的TCP報文，設置初始序號seq Y=0，將確認序號(Acknowledgement Number)設置為客戶的序號加1，即X+1 = 0+1=1, 如下圖

第三次握手的數據包

客戶端收到服務器發來的包後檢查確認序號(Acknowledgement Number)是否正確，即第一次發送的序號加1（X[ 0 ]+1=1）。以及標誌位ACK是否為1。若正確，服務器再次發送確認包，ACK標誌位為1，SYN標誌位為0。確認序號(Acknowledgement Number)=Y+1=0+1=1，發送序號為X+1=1。客戶端收到後確認序號值與ACK=1則連接建立成功，可以傳送數據了。

就這樣通過了TCP三次握手，建立了連接。

TCP/IP知識

1. 鏈路層：

也稱作數據鏈路層或者網絡接口層，通常包括操作系統中的設備驅動程序和計算機中對應的網絡接口卡。它們一起處理與電纜（或其他任何傳輸媒介）的物理接口細節。

2. 網絡層：

也稱作互聯網層，處理分組在網絡中的活動，例如分組的選路。網絡層協議包括IP協議（網際協議）、ICMP協議（Internet互聯網控制報文協議），以及IGMP協議（Internet組管理協議）。

3. 運輸層主要為兩臺主機上的應用程序提供端到端的通信：

在TCP/IP協議族中，有兩個互不相同的傳輸協議：TCP（傳輸控制協議）和UDP（用戶數據報協議）。TCP為兩臺主機提供高可靠性的數據通信。他所作的工作包括把應用程序交給它的數據分成合適的小塊交給下面的網絡層，確認接收到的分組，設置發送最後確認分組的超時時鐘等。由於運輸層提供了高可靠性的端到端通信，因此應用層可以忽略所有這些細節。而另一方面，UDP則為應用層提供一種非常簡單的服務。它只是把稱作數據報的分組從一臺主機發送到另一臺主機，但並不保證該數據報能到達另一端。任何必須的可靠性必須由應用層來提供。

4. 應用層負責處理特定的應用程序細節：

包括Telnet（遠程登錄）、FTP（文件傳輸協議）、SMTP（簡單郵件傳送協議）以及SNMP（簡單網絡管理協議）等。

TCP是一種面向連接的、可靠的 基於字節流的傳輸層通信協議。TCP將用戶數據打包成報文段，它發送後啟動一個定時器，另一端收到的數據進行確認、對失序的數據重新排序、丟棄重復數據。

TCP的特點：

1、TCP是面向連接的運輸層協議

2、每一條TCP連接只能有兩個端點，每一條TCP連接只能是點對點的

3、TCP提供可靠交付的服務

4、TCP提供全雙工通信。數據在兩個方向上獨立的進行傳輸。因此，連接的每一端必須保持每個方向上的傳輸數據序號。

5、面向字節流。面向字節流的含義：雖然應用程序和TCP交互是一次一個數據塊，但TCP應用程序交下來的數據僅僅是一連串的無結構的字節流。

1. 源端口號：數據發起者的端口號，16bit

2. 目的端口號：數據接收者的端口號，16bit

3. 序號：32bit的序列號，由發送方使用

4. 確認序號：32bit的確認號，是接收數據方期望收到發送方的下一個報文段的序號，因此確認序號應當是上次已成功收到數據字節序號加1。

5. 首部長度：首部中32bit字的數目，可表示15*32bit=60字節的首部。一般首部長度為20字節。

6. 保留：6bit, 均為0

7. 緊急URG：當URG=1時，表示報文段中有緊急數據，應盡快傳送。

8. 確認比特ACK：ACK = 1時代表這是一個確認的TCP包，取值0則不是確認包。

9. 推送比特PSH：當發送端PSH=1時，接收端盡快的交付給應用進程。

10. 復位比特（RST）：當RST=1時，表明TCP連接中出現嚴重差錯，必須釋放連接，再重新建立連接。

11. 同步比特SYN：在建立連接是用來同步序號。SYN=1， ACK=0表示一個連接請求報文段。SYN=1，ACK=1表示同意建立連接。

12. 終止比特FIN：FIN=1時，表明此報文段的發送端的數據已經發送完畢，並要求釋放傳輸連接。

13. 窗口：用來控制對方發送的數據量，通知發放已確定的發送窗口上限。

14. 檢驗和：該字段檢驗的範圍包括首部和數據這兩部分。由發端計算和存儲，並由收端進行驗證。

15. 緊急指針：緊急指針在URG=1時才有效，它指出本報文段中的緊急數據的字節數。

16. 選項：長度可變，最長可達40字節。

wireshark捕獲到的TCP包中的每個字段如下圖所示：

基於 Wireshark 學習 TCP 三次握手