tcp分组的源主机套接字wireshark(tcp分组的源主机套接字)

Wireshark不可以抓本地回路的包，因为Windows TCP/IP下没有本地回路的接口，发送给127.0.0.1的包不经过网卡的。不过可以用Commview、RawCap这些轻量级工具来抓本地回路的包，然后保存成pcap文件，再用Wireshark打开这个文件，就可以用Wireshark进行分析了。

TCP的套接字就是IP号加端口号。其中，IP号是网络层用来寻找主机的；端口号是运输层用来找进程的，在网络层找到主机后就依据端口号找到相应进程，从而实现用户与服务器的通信。
说白了就是Socket通信协议，两边都遵循这个协议，然后确定终结点（IP和端口号），以TCP 或者UDP的方式连接，进行通信，要提到的是TCP套接字通信必须一直保持连接

Wireshark 进行监听TCP FTP HTTP三个协议一、下载安装wireshark 从http://www.wireshark.org/ 下载安装Windows平台的wireshark，双击安装文件安装即可，在安装过程中注意选择安装winpcap。二、启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture。主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。  在启动时候也许会遇到这样的问题：弹出一个对话框说 NPF driver 没有启动，无法抓包。在win7或Vista下找到C: systemsystem32下的cmd.exe 以管理员身份运行，然后输入 net start npf，启动NPf服务。重新启动wireshark就可以抓包了。抓包之前也可以做一些设置，如上红色图标记2，点击后进入设置对话框，具体设置如下：  Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。 Limit each packet：限制每个包的大小，缺省情况不限制。Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。  Filter：过滤器。只抓取满足过滤规则的包。  File：可输入文件名称将抓到的包写到指定的文件中。  Use ring buffer： 是否使用循环缓冲。缺省情况下不使用，即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。  Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。  单击“OK”按钮开始抓包，系统显示出接收的不同数据包的统计信息，单击“Stop”按钮停止抓包后，所抓包的分析结果显示在面板中，如下图所示：为了使抓取的包更有针对性，在抓包之前，开启了QQ的视频聊天，因为QQ视频所使用的是UDP协议，所以抓取的包大部分是采用UDP协议的包。三、对抓包结果的说明wireshark的抓包结果整个窗口被分成三部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。使用wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。上图的数据包列表中，第一列是编号（如第1个包），第二列是截取时间（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是这个包使用的协议（这里是UDP协议），第六列info是一些其它的信息，包括源端口号和目的端口号（源端口：58459，目的端口：54062）。 中间的是协议树，如下图：这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便的对各种协议的数据包进行分析。四、真实抓包案例分析  实例：访问客户端是192.200.200.110，FTP服务器地址是192.200.200.120，FTP服务器是被动模式。通过访问FTP://192.200.200.120，下载一个东西，抓包进行分析。  1、 建立命令通道图中红框处是建立命令通道的数据包。可以看见客户端首先去请求FTP服务器的21端口，并且用匿名账号进行登录并且成功。第17个包，客户端用被动模式连接FTP服务器，第18个包，FTP服务器告诉要来客户端连接自己的4844端口进行数据传输。如下图所示：建立命令通道的包交互过程中，有很多FTP命令，包括了SYST、PWD、CWD等，是FTP的标准命令，网络上都可以查到。Wireshark 进行监听TCP FTP HTTP完成。
filter 里填入TCP&&FTP&&HTTP 另外，其实你只抓TCP就包含了FTP和HTTP的包了。

这个问题比较简单就可以实现，首先，你要先在交换机上镜像出来一组你需要监控的数据。 然后，打开wireshark，选择列出抓包接口，选择要抓包的接口，这时候别点开始，点倒数第二个按钮，【选项】。在出来的窗口里面，双击你刚才选中接口，又弹出一个窗口，这时候，在最下面填上过滤条件【tcp】，点击【确定】。然后点击下面的【开始】，就可以了，抓出来的包全是tcp的。如果抓之前，你没过滤，已经把所有的包都抓出来了，这时候，把数据包打开，在最上面的过滤条件里面输入tcp，就可以了。 过滤条件有很多命令格式，多记住几个经常用的就可以了。

Wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。 通过Wireshark的抓包数据可以获取那些信息呢？Frame: 物理层的数据帧概况Ethernet II: 数据链路层以太网帧头部信息Internet Protocol Version 4: 互联网层IP包头部信息Transmission Control Protocol:传输层T的数据段头部信息，此处是TCP Hypertext Transfer Protocol:应用层的信息，此处是HTTP协议