抓包工具WireShark使用及TCP三次握手报文分析

为什么要抓包

（1）定位网络问题

大部分场合都可以通过程序调试来定位问题，但有些场景使用抓包来定位接口问题更准确、更方便，如以下场景：

1. 你发送数据给后台，但后台没有收到，可以对接口进行抓包分析，看是后台处理有问题，还是没有将数据发出去，或是发送数据格式有误；
2. 你和后台接口联调测通，但业务数据对不上，你认为是后台问题，后台认为是你发的问题，可以抓包确认问题所在；
3. 线上出现bug需要定位，但你没在公司，没有代码可调试，可直接抓包分析；
4. 系统性能不佳，抓包看下接口响应时长，是不是后台出现性能问题。

（2）学习网络协议，使用抓包工具分析网络数据更直观。

常用的抓包工具

• F12

浏览器自带的抓包工具，只能抓取当期浏览器中的网络请求。

• Fiddler
• Charles
• Wireshark

Wireshark支持多协议、用户友好、开源、多操作系统支持，所以Wireshark是我们最常用的抓包工具和报文分析工具。

Wireshark

下载安装

• 下载

官网：https://www.wireshark.org/

点击主页上部分链接跳转到下载部分：

选择自己系统对应的版本下载：

• 安装

安装很简单，安装完成之后：

使用

（1）捕捉过滤器（Capture Filter）

• 说明

为第一层过滤器，筛选出对应的请求。默认会爬取当前电脑中所有的网络请求。
语法正确显示绿色，如上图所示，语法错误显示红色。

• 语法

过滤器格式：协议 方向 主机端口(host/port/portrange)
示例：host 121.36.228.27

protocol（协议）：可能值：http/https/ftp/udp/tcp/ipv4/ipv6/arp/icmp等协议。如果没有特别说明是什么协议，则默认使用所有支持的协议。
direction（方向）：可能值：src/dst/src and dst/src or dst，默认src or dst。
host(s)（主机端口）：可能值：net/port/host/portrange，默认host。
logical operation（逻辑运算）：可能值：not/and/or，not具有最高优先级，and和or优先级相同，运算从左向右。

• 使用

也可以在这里设置：

（2）显示过滤器（Display Filter）

• 说明

第二层过滤器，在第一层的基础上显示具体点请求信息。
显示过滤器输入之后要按回车才会生效。在大文件里应用过滤显示器会有延迟。

• 语法

示例：tcp and !mysql and tcp.port==3306，!mysql表示非MySQL协议。

比较操作符：==、！=、<、>、>=、=
逻辑操作符：and、or、not(没有条件满足)、xor(有且仅有一个条件满足)
IP地址：ip.addr（来源ip地址或者目标ip地址）、ip.src（来源ip地址限制）、ip.dst（目标ip地址限制）
协议过滤：arp、ip、icmp、udp、tcp、bootp、dns

TCP三次握手报文分析

• 原理图

• 捕捉器筛选

host 121.36.228.27

• 筛选项

tcp and !mysql

• 三次握手记录

• 选中某一个请求对应的详细信息

说明：
第一次握手举例。

1. Frame

帧，即当前请求，总览信息。

2. Ethernet II

网卡信息，数据链路层信息。如下图所示：

以上红框对应的是目标地址（华为云服务器）和源地址（本机电脑）。

3. Internet Protocol Version

IP层信息。如下图所示：

IP层对应的协议为TCP，源地址和目标地址为具体的IP地址。

4. Transmission Control Protocol

TCP层信息。如下图所示：

第一次握手：

第一次握手标识Flags对应的位值为1表示SYN请求，seq=J=1406766747。

第二次握手：

第二次握手标识Flags对应的位置为1表示SYN和ACK请求，ack=J+1=1406766747+1=1406766748，seq=K=4187487345。

第三次握手：

第三次握手标识Flags对应的位置为1表示ACK请求，ack=K+1=4187487345+1=4187487346，seq=1406766748（没用到）。