原文鏈接：http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html#threehand，肖佳

之前寫過(guò)一篇博客：用 Fiddler 來(lái)調(diào)試HTTP，HTTPS。 這篇文章介紹另一個(gè)好用的抓包工具wireshark， 用來(lái)獲取網(wǎng)絡(luò)數(shù)據(jù)封包，包括http，TCP，UDP，等網(wǎng)絡(luò)協(xié)議包。

記得大學(xué)的時(shí)候就學(xué)習(xí)過(guò)TCP的三次握手協(xié)議，那時(shí)候只是知道，雖然在書上看過(guò)很多TCP和UDP的資料，但是從來(lái)沒(méi)有真正見(jiàn)過(guò)這些數(shù)據(jù)包， 老是感覺(jué)在云上飄一樣，學(xué)得不踏實(shí)。有了wireshark就能截獲這些網(wǎng)絡(luò)數(shù)據(jù)包，可以清晰的看到數(shù)據(jù)包中的每一個(gè)字段。更能加深我們對(duì)網(wǎng)絡(luò)協(xié)議的理解。

對(duì)我而言， wireshark 是學(xué)習(xí)網(wǎng)絡(luò)協(xié)議最好的工具。

1. wireshark介紹

wireshark的官方下載網(wǎng)站： http://www.wireshark.org/

wireshark是非常流行的網(wǎng)絡(luò)封包分析軟件，功能十分強(qiáng)大?？梢越厝「鞣N網(wǎng)絡(luò)封包，顯示網(wǎng)絡(luò)封包的詳細(xì)信息。

wireshark是開源軟件，可以放心使用。 可以運(yùn)行在Windows和Mac OS上。

使用wireshark的人必須了解網(wǎng)絡(luò)協(xié)議，否則就看不懂wireshark了。

2. Wireshark不能做的

為了安全考慮，wireshark只能查看封包，而不能修改封包的內(nèi)容，或者發(fā)送封包。

3. Wireshark VS Fiddler

Fiddler是在windows上運(yùn)行的程序，專門用來(lái)捕獲HTTP，HTTPS的。

wireshark能獲取HTTP，也能獲取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的內(nèi)容

總結(jié)，如果是處理HTTP，HTTPS 還是用Fiddler， 其他協(xié)議比如TCP，UDP 就用wireshark

4. 同類的其他工具

微軟的network monitor，sniffer

5. 什么人會(huì)用到wireshark

• 網(wǎng)絡(luò)管理員會(huì)使用wireshark來(lái)檢查網(wǎng)絡(luò)問(wèn)題
• 軟件測(cè)試工程師使用wireshark抓包，來(lái)分析自己測(cè)試的軟件
• 從事socket編程的工程師會(huì)用wireshark來(lái)調(diào)試
• 聽(tīng)說(shuō)，華為，中興的大部分工程師都會(huì)用到wireshark

總之跟網(wǎng)絡(luò)相關(guān)的東西，都可能會(huì)用到wireshark

6. wireshark 開始抓包

開始界面

wireshark是捕獲機(jī)器上的某一塊網(wǎng)卡的網(wǎng)絡(luò)包，當(dāng)你的機(jī)器上有多塊網(wǎng)卡的時(shí)候，你需要選擇一個(gè)網(wǎng)卡。

點(diǎn)擊Caputre->Interfaces.. 出現(xiàn)下面對(duì)話框，選擇正確的網(wǎng)卡。然后點(diǎn)擊”Start”按鈕， 開始抓包

7. Wireshark 窗口介紹

WireShark 主要分為這幾個(gè)界面

• Display Filter(顯示過(guò)濾器)， 用于過(guò)濾
• Packet List Pane(封包列表)， 顯示捕獲到的封包， 有源地址和目標(biāo)地址，端口號(hào)。 顏色不同，代表
• Packet Details Pane(封包詳細(xì)信息)， 顯示封包中的字段
• Dissector Pane(16進(jìn)制數(shù)據(jù))
• Miscellanous(地址欄，雜項(xiàng))

8. Wireshark 顯示過(guò)濾

使用過(guò)濾是非常重要的， 初學(xué)者使用wireshark時(shí)，將會(huì)得到大量的冗余信息，在幾千甚至幾萬(wàn)條記錄中，以至于很難找到自己需要的部分。搞得暈頭轉(zhuǎn)向。過(guò)濾器會(huì)幫助我們?cè)诖罅康臄?shù)據(jù)中迅速找到我們需要的信息。

過(guò)濾器有兩種：

一種是顯示過(guò)濾器，就是主界面上那個(gè)，用來(lái)在捕獲的記錄中找到所需要的記錄

一種是捕獲過(guò)濾器，用來(lái)過(guò)濾捕獲的封包，以免捕獲太多的記錄。 在Capture -> Capture Filters 中設(shè)置

9. 保存過(guò)濾

在Filter欄上，填好Filter的表達(dá)式后，點(diǎn)擊Save按鈕， 取個(gè)名字。比如”Filter 102”

Filter欄上就多了個(gè)”Filter 102” 的按鈕

10. 過(guò)濾表達(dá)式的規(guī)則

過(guò)濾表達(dá)式的規(guī)則

表達(dá)式規(guī)則規(guī)則說(shuō)明

協(xié)議過(guò)濾	比如TCP，只顯示TCP協(xié)議
IP 過(guò)濾	比如 ip.src ==192.168.1.102 顯示源地址為192.168.1.102，ip.dst==192.168.1.102，目標(biāo)地址為192.168.1.102
端口過(guò)濾	tcp.port ==80, 端口為80的； tcp.srcport == 80, 只顯示TCP協(xié)議的愿端口為80的
Http模式過(guò)濾	http.request.method==”GET”, 只顯示HTTP GET方法的
邏輯運(yùn)算符	AND/ OR

常用的過(guò)濾表達(dá)式

過(guò)濾表達(dá)式用途

http	只查看HTTP協(xié)議的記錄
ip.src ==192.168.1.102	過(guò)濾源ip地址是192.168.1.102
ip.dst==192.168.1.102	過(guò)濾目標(biāo)ip地址是192.168.1.102
ip.src ==192.168.1.102 or ip.dst==192.168.1.102	源地址或者目標(biāo)地址是192.168.1.102
http.request.method==”GET”	過(guò)濾get請(qǐng)求
http.request.method==”POST”	過(guò)濾post請(qǐng)求
http.request.method==”GET” and ip.dst==192.168.1.102

11. 封包列表(Packet List Pane)

封包列表的面板中顯示，編號(hào)，時(shí)間戳，源地址，目標(biāo)地址，協(xié)議，長(zhǎng)度，以及封包信息。 你可以看到不同的協(xié)議用了不同的顏色顯示。

你也可以修改這些顯示顏色的規(guī)則， View ->Coloring Rules.

12. 封包詳細(xì)信息 (Packet Details Pane)

這個(gè)面板是我們最重要的，用來(lái)查看協(xié)議中的每一個(gè)字段。各行信息分別為

• Frame: 物理層的數(shù)據(jù)幀概況
• Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息
• Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息
• Transmission Control Protocol: 傳輸層T的數(shù)據(jù)段頭部信息，此處是TCP
• Hypertext Transfer Protocol: 應(yīng)用層的信息，此處是HTTP協(xié)議

13. wireshark與對(duì)應(yīng)的OSI七層模型

14. TCP包的具體內(nèi)容

從下圖可以看到wireshark捕獲到的TCP包中的每個(gè)字段。

15. 實(shí)例分析TCP三次握手過(guò)程

看到這， 基本上對(duì)wireshak有了初步了解， 現(xiàn)在我們看一個(gè)TCP三次握手的實(shí)例

三次握手過(guò)程為

這圖我都看過(guò)很多遍了， 這次我們用wireshark實(shí)際分析下三次握手的過(guò)程。

打開wireshark， 打開瀏覽器輸入 http://www.cnblogs.com/tankxiao

在wireshark中輸入http過(guò)濾， 然后選中GET /tankxiao HTTP/1.1的那條記錄，右鍵然后點(diǎn)擊”Follow TCP Stream”，

這樣做的目的是為了得到與瀏覽器打開網(wǎng)站相關(guān)的數(shù)據(jù)包，將得到如下圖

圖中可以看到wireshark截獲到了三次握手的三個(gè)數(shù)據(jù)包。第四個(gè)包才是HTTP的， 這說(shuō)明HTTP的確是使用TCP建立連接的。

第一次握手?jǐn)?shù)據(jù)包

客戶端發(fā)送一個(gè)TCP，標(biāo)志位為SYN，序列號(hào)為0， 代表客戶端請(qǐng)求建立連接。 如下圖

第二次握手的數(shù)據(jù)包

服務(wù)器發(fā)回確認(rèn)包， 標(biāo)志位為 SYN，ACK. 將確認(rèn)序號(hào)(Acknowledgement Number)設(shè)置為客戶的I S N加1以.即0+1=1， 如下圖

第三次握手的數(shù)據(jù)包

客戶端再次發(fā)送確認(rèn)包(ACK) SYN標(biāo)志位為0，ACK標(biāo)志位為1.并且把服務(wù)器發(fā)來(lái)ACK的序號(hào)字段+1，放在確定字段中發(fā)送給對(duì)方.并且在數(shù)據(jù)段放寫ISN的+1， 如下圖:

就這樣通過(guò)了TCP三次握手，建立了連接

總結(jié)

以上是生活随笔為你收集整理的抓包工具Wireshark基本介绍和学习TCP三次握手的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。