用wireshark和fiddler抓包分析tcp的三次握手与四次挥手

操作系统：windows10
实验软件：wireshark fiddler

一.以进入“金庸”游戏为例使用wireshark抓包分析tcp的三次握手与四次挥手。

wireshark简介：wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

tcp的三次握手

tcp的四次挥手

1.在win10中打开cmd命令行窗口，用telnet进入金庸游戏

telnet（进入telnet客户端）-》set localecho（打开本地回显）-》open 10.1.230.41 3900（进入游戏服务器）

2.用wireshark进行抓包

先ipconfig一下，查看自己当前网络的ip，便于之后在wireshark抓取的包进行分析。

wireshark抓取了很多的数据包，我们用过滤器进行筛选（筛选出来我们需要的包）

三次握手主要由标志位SYN和ACK共同完成的

3.断开游戏服务器并分析四次挥手的包

四次挥手主要有FIN和ACK共同决定

二.用fiddler抓取网页的https协议的包进行分析

1.http协议的简介

TCP 协议是 HTTP 协议的基石——HTTP 协议需要依靠 TCP 协议来传输数据。在网络分层模型中，TCP 被称为 “传输层协议”，而 HTTP 被称为 “应用层协议”。

HTTP 对 TCP 连接的使用，分为两种方式：俗称 “短连接” 和“长连接”(“长连接”又称 “持久连接”，洋文叫做“Keep-Alive” 或“Persistent Connection”) 假设有一个网页，里面包含好多图片，还包含好多外部的CSS 文件和 JS 文件。在 “短连接” 的模式下，浏览器会先发起一个 TCP 连接，拿到该网页的 HTML 源代码(拿到 HTML 之后，这个 TCP 连接就关闭了)。然后，浏览器开始分析这个网页的源码，知道这个页面包含很多外部资源(图片、CSS、JS)。

然后针对每一个外部资源，再分别发起一个个 TCP 连接，把这些文件获取到本地(同样的，每抓取一个外部资源后，相应的 TCP 就断开) 相反，如果是 “长连接” 的方式，浏览器也会先发起一个 TCP 连接去抓取页面。但是抓取页面之后，该 TCP 连接并不会立即关闭，而是暂时先保持着(所谓的“Keep-Alive”)。然后浏览器分析 HTML 源码之后，发现有很多外部资源，就用刚才那个 TCP 连接去抓取此页面的外部资源。

2.安装fiddler并配置

2.1安装fiddler

在官网中下载fiddler：fiddler

然后按照提示步骤一步一步的安装fiddler

2.2fiddler的配置

打开fiddler->菜单栏中的tools->options

HTTPS ->勾选 Decrypt HTTPS traffic ->安装安全证书


Actions->Trust Root Certificate ->ok

3.fiddler的使用以及抓取https协议包

fiddler的使用参考：https://blog.csdn.net/weixin_41633501/article/details/85257032

ctrl+x清除当前抓取的包

3.1在浏览器中请求一个网站（例如百度）

3.2fiddler分析抓取的包

谷歌浏览器向百度服务器发送各种请求

百度服务器向浏览器回复数据

选取一个包分析，可以看到百度服务器向谷歌浏览器返回的数据

选择的是长连接的方式

三.总结

wireshark能获取HTTP，也能获取HTTPS，但是不能解HTTPS，所以wireshark看不懂HTTPS中的内容，想要解密https，需要fiddler。