wireshark抓包工具使用 示例分析TCP三次握手

MAC和windows都有。MAC还可以用来抓iPhone的数据

 

 

一进来会默认有一些接口

 

如果没有接口，可能是驱动有问题。按下图操作一下试试，如果输入net start npf 提示服务名无效，那么就重装一下wireshark。

 

点某个接口进来

 

 

然后可以看这个网址https://jingyan.baidu.com/article/c35dbcb0866b698916fcbc81.html

 

封包详细信息 (Packet Details Pane)

这个面板是我们最重要的，用来查看协议中的每一个字段。

各行信息分别为

Frame: 物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP

Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

 

 

TCP包的具体内容

从下图可以看到wireshark捕获到的TCP包中的每个字段。

 

 

TCP三次握手

 

 

 

 

比如我清空缓存，访问www.gucci.cn。由上图我们知道ip是211.147.94.40

 

所以在过滤器里输入

ip.src==211.147.94.40 or ip.addr==211.147.94.40

 

在GET /HTTP/1.1这条右键，追踪TCP流

 

可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的