wireshark抓取TCP包

tcpdump到文件

tcpdump tcp port 9999  host xxx.xx.xx.x -w /opt/tcp.cap
tcpdump host *.*.3.27 -w /opt/send.cap
tcpdump host *.*.3.26 -w /opt/recive.cap

丢包比较严重时可以加上-n减少丢包

wireshark过滤规则

排除retransmission及按源地址过滤结构
http and !(tcp.analysis.retransmission) and ip.src == *.*.3.27
过滤post方式的http请求
http.request.method==POST

查看统计数量

菜单Statistics->HTTP->Packet Counter

包数据分析

1.png

ARP协议是地址解析协议，将ip地址转换为物理地址

2.png

上图为我们通过Jmeter向目标地址*.*.3.27发送5次http请求，图中可以看出建立连接的过程。
其中序号为3、4、5的数据包是一次典型的TCP三次握手连接，建立TCP连接时：
1. 客户端首先通过26103端口发送SYN消息
2. 服务端响应[SYN,ACK]表示收到消息
3. 客户端再发送ACK确认，这样连接就建立了，可以传输数据。

3.png

一次TCP数据的传输为两条数据包，一条为发向目标地址的seq消息，一条为发向客户端的ack消息。
上图中6为发到服务器*.*.3.27的数据包，其中seq=1 ack=1 len=205
包7为服务器应答消息，其中seq=1 ack=206 len=268
具体的握手传输及挥手过程以及seq，ack值得含义可参考我的另一篇文章：https://www.jianshu.com/p/43d5b1ad7cfc