wireshark抓包tcp步骤及分析(wireshark分析TCP拥塞控制)

Wireshark是一个网络协议检测工具，支持Windows平台和Unix平台，我一般只在Windows平台下使用Wireshark，如果是Linux的话，我直接用tcpdump了，因为我工作环境中的Linux一般只有字符界面，且一般而言Linux都自带的tcpdump，或者用tcpdump抓包以后用Wireshark打开分析。tcpdump是基于Unix系统的命令行式的数据包嗅探工具。如果要使用tcpdump抓取其他主机MAC地址的数据包，必须开启网卡混杂模式，所谓混杂模式，用最简单的语言就是让网卡抓取任何经过它的数据包，不管这个数据包是不是发给它或者是它发出的。

（1）TCPClient向TCPServer发送连接请求SYN （2）TCPServer收到连接请求后反馈SYN+ACK（3）TCPClient收到SYN+ACK后反馈ACK，三次握手完成，连接建立（4）TCPClient向TCPServer发送100字节的数据（5）TCPServer收到（4）后确认并发送78字节的数据，即捎带确认（6）TCPClient收到（5）后，发送ACK进行确认（7）TCPClient发送100字节的数据 （8）TCPClient发送RST报文，终止连接

这个问题比较简单就可以实现，首先，你要先在交换机上镜像出来一组你需要监控的数据。 然后，打开wireshark，选择列出抓包接口，选择要抓包的接口，这时候别点开始，点倒数第二个按钮，【选项】。在出来的窗口里面，双击你刚才选中接口，又弹出一个窗口，这时候，在最下面填上过滤条件【tcp】，点击【确定】。然后点击下面的【开始】，就可以了，抓出来的包全是tcp的。如果抓之前，你没过滤，已经把所有的包都抓出来了，这时候，把数据包打开，在最上面的过滤条件里面输入tcp，就可以了。 过滤条件有很多命令格式，多记住几个经常用的就可以了。

一、  wireshark是捕获机器上的某一块网卡的网络包 ，当你的机器上有多块网卡的时候，你需要选择一个网卡。 例如，我测试本地连接，直接选择“本地连接”，进入如下界面二、 WireShark 主要分为这几个界面1. Display Filter(显示过滤器)，  用于过滤2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表不同的协议，你也可以修改这些显示颜色的规则，  View ->Coloring Rules.3. Packet Details Pane(封包详细信息), 显示封包中的字段Frame:   物理层的数据帧概况Ethernet II: 数据链路层以太网帧头部信息Internet Protocol Version 4: 互联网层IP包头部信息Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCPHypertext Transfer Protocol:  应用层的信息，此处是HTTP协议4. Dissector Pane(16进制数据)5. Miscellanous(地址栏，杂项)wireshark顶部显示过滤器使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。过滤器有两种，一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置保存过滤1）设置显示过滤器，按如下步骤进行编辑过滤表达式的规则表达式规则1. 协议过滤比如TCP，只显示TCP协议。2. IP 过滤比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，ip.dst==192.168.1.102, 目标地址为192.168.1.1023. 端口过滤tcp.port ==80,  端口为80的tcp.srcport == 80,  只显示TCP协议的愿端口为80的。4. Http模式过滤http.request.method=="GET",   只显示HTTP GET方法的。5. 逻辑运算符为 AND/ OR常用的过滤表达式三、 wireshark与对应的OSI七层模型TCP包的具体内容从下图可以看到wireshark捕获到的TCP包中的每个字段。四、实例分析TCP三次握手过程看到这， 基本上对wireshak有了初步了解， 现在我们看一个TCP三次握手的实例三次握手过程为这图我都看过很多遍了， 这次我们用wireshark实际分析下三次握手的过程。打开wireshark, 打开浏览器输入http://www.cr173.com在wireshark中输入http过滤， 然后选中GET /tankxiao HTTP/1.1的那条记录，右键然后点击"Follow TCP Stream",这样做的目的是为了得到与浏览器打开网站相关的数据包，将得到如下图图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。第一次握手数据包客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图第二次握手的数据包服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图第三次握手的数据包客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图: 就这样通过了TCP三次握手，建立了连接

1、抓包步骤1）开始界面2）点击Caputre->Interfaces.出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包2、简介Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。网络封包的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。