Wireshark 基本介绍与TCP三次握手抓包分析

Wiresark 介绍

wireshark是非常流行的网络封包分析工具，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。wireshark是开源软件，可以放心使用。 可以运行在Windows和Mac OS上。

你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。（当然比那个更高级）

过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。 Wireshark出现以后，这种现状得以改变。 Wireshark可能算得上是今天能使用的最好的开源网络分析软件。

Wiresark适用人群

Wireshark适合以下几类人群适用，提供工作效率：

1. 网络管理员会使用wireshark来检查网络问题
2. 软件测试工程师使用wireshark抓包，来分析自己测试的软件
3. 从事socket编程的工程师会用wireshark来调试
4. 网络初学者用来分析网络协议。

Wiresark抓包介绍

1. 软件包的获取和安装。
   wireshark的官方下载网站： https://www.wireshark.org/，目前最新版本为Wires hark3.0.3，具体安装步骤请参考官方文档。本文档以wireshark1.8.2为例。

2. 软件安装完成后，打开界面如图所示

3. 选择抓包接口。
   wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。
   点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包。

4. Wireshark 抓包窗口介绍

WireShark 主要分为这几个界面

• Display Filter(显示过滤器)， 用于过滤。
• Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。
• Packet Details Pane(封包详细信息), 显示封包中的字段。
• Dissector Pane(16进制数据)。
• Miscellanous(地址栏，杂项)。

5. 对抓取的数据流做显示过滤处理。
   使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种：

• 显示过滤器，位于主界面位置，用来在捕获的记录中找到所需要的记录。
• 捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置。

6. 保存过滤后的有用数据包。

• 在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 102",

• Filter栏上就多了个"Filter 102" 的按钮。

步骤6中使用的过滤方法为正则表达式过滤法，具体规则如下：

1. 协议过滤比如TCP，只显示TCP协议。
2. IP 过滤比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，ip.dst==192.168.1.102, 目标地址为192.168.1.102
3. 端口过滤tcp.port ==80, 端口为80的tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
4. Http模式过滤http.request.method=="GET", 只显示HTTP GET方法的。
5. 逻辑运算符为 AND/ OR

7. 封包列表(Packet List Pane)
   封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。你也可以修改这些显示颜色的规则， View ->Coloring Rules.

8. 封包详细信息 (Packet Details Pane)
   这个面板是我们最重要的，用来查看协议中的每一个字段。
   各行信息分别为：

• Frame: 物理层的数据帧概况
• Ethernet II: 数据链路层以太网帧头部信息
• Internet Protocol Version 4: 互联网层IP包头部信息
• Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP
• Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

9. wireshark与对应的OSI七层模型。

10. TCP包的具体内容与报文结构对照
    从下图看到wireshark捕获到的TCP包中的每个字段。

实例分析-TCP三次握手过程

看到这， 基本上对wireshak有了初步了解， 现在我们看一个TCP三次握手的实例。

TCP三次握手过程如下图所示：

步骤1：使用Windows电脑访问www.helperaddress.com，然后使用Wireshark抓包本地网卡。
步骤2：Wireshark会显示抓取到的数据包，然后在“Filter”栏过滤HTTP流量。如图。

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。

步骤3：三次握手过程分析

• 第一次握手数据包，客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图

• 第二次握手的数据包，服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

• 第三次握手的数据包，客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

就这样通过了TCP三次握手，建立了连接。