利用Wireshark分析TCP三次握手和四次挥手

一、安装Wireshark

二、界面介绍

1. 网卡类型

2. 首页功能

2.1 按钮界面

2.2 数据包列表

2.3 数据包详细信息列表

3. Wireshark过滤器

3.1 设置数据抓取选项

3.2 显示过滤器

3.3 过滤关系

3.4 复合过滤表达式

3.5 常见用显示过滤需求及其对应表达式

3.5.1 数据链路层

3.5.1 网络层

3.5.1 传输层

3.5.1 应用层

三、wireshark分析TCP三次握手

1. 过滤阿里云服务器

2. 连接阿里云TCP服务端

2.1 TCP第一次握手数据包

2.2 TCP第二次握手数据包

2.3 TCP第三次握手数据包

四、wireshark分析TCP四次挥手

1. 断开阿里云服务器连接

2. TCP第一次挥手数据包

3. TCP第二次挥手数据包

4. TCP第三次挥手数据包

5. TCP第四次挥手数据包

一、安装Wireshark

wireshark是一个网络封包分析软件,它可以撷取网络封包，并尽可能显示出最为详细的网络封包信息，方便我们学习理解。

百度网盘下载链接: https://pan.baidu.com/s/1evR2fse5sXuLwjro5NgIWw?pwd=ub80

二、界面介绍

1. 网卡类型

本次我们用WLAN演示过程

以抓取WLAN数据包为例

打开软件，选择WLAN，START开始抓包

2. 首页功能

2.1 按钮界面

列出可用接口

抓包时需要设置的一些选项

开始新的一次抓包

暂停抓包

继续进行本次抓包

2.2 数据包列表

在数据包列表中又包含每个捕获到的数据包编号，时间戳，源地址，目标地址，协议，长

度，以及数据包信息。

2.3 数据包详细信息列表

选择指定数据包，查看协议中的每一个字段

具体字段信息此处不再赘述

为了排除大量冗余数据包，迅速定位到目标监听数据包，我们采用过滤器的方式

3. Wireshark过滤器

3.1 设置数据抓取选项

先停止数据包抓取，选择常用按钮第二个，设置

筛选端口号为80的数据（默认筛选WLAN）

START后选择Continue

捕获到了所有端口为80的数据

如果要针对网卡筛选，在Capture中，双击该网卡

单独筛选WLAN网络下80端口的数据

如果没有设置混杂模式，本地计算机只能获取数据包发往的目标是主机和从主机出去的数据包。如果设置了混杂模式，就可以捕获局域网中所有的数据包。

抓包通常采用混杂模式，抓取范围更大

3.2 显示过滤器

显示过滤器应用于捕获文件，用来告诉wireshark只显示那些符合过滤条件的数据包。

比如输入tcp，可以筛选所有使用tcp协议的数据包

为了提高筛选效率，我们采用过滤表达式

点击Expression按钮，选择过滤表达式的内容

表达式一般有三组组成，分别是过滤项、过滤关系和过滤值

过滤项中有很多协议，此处我们以TCP为例

先找到TCP协议

在协议下找到端口协议

过滤关系选择==，过滤值填80

通过Expression填写过滤表达式，在首页过滤器中自动出现一行表达式

筛选使用tcp通信时，端口为80的数据包
tcp.port == 80

举例：

筛选出源IP或目的IP是117.147.199.51的所有数据包
ip.addr == 117.147.199.51

筛选出目的地址是117.147.199.51的数据包
ip.dst == 117.147.199.51

3.3 过滤关系

过滤关系也可以使用英文表达

比如

筛选出目的地址是117.147.199.51的数据包
ip.dst eq 117.147.199.51

有时候需要筛选的条件较多，普通表达式满足不了需求，故采用符合过滤表达式

3.4 复合过滤表达式

逻辑与
筛选同时满足目的地址是117.147.199.51和端口号为80的数据包
ip.dst eq 117.147.199.51 && tcp.port  == 80
逻辑或
筛选同时满足目的地址是117.147.199.51或端口号为80的数据包
ip.dst eq 117.147.199.51 && tcp.port == 80