一。簡介

? ? ? ? ? ?Wireshark（前稱Ethereal）是一個網(wǎng)絡封包分析軟件，支持多平臺的包抓取分析的開源軟件，Wireshark使用WinPcap作為接口，直接與網(wǎng)卡進行數(shù)據(jù)報文交換。

二、特點

????????????安裝方便，簡單易用的界面，提供豐富的功能

三、功能

????????1、支持UNIX和Windows等多平臺

????????2、在接口實時捕捉包

????????3、能詳細顯示包的詳細協(xié)議信息

????????4、可以打開/保存捕捉的包

????????5、可以導入導出其他捕捉程序支持的包數(shù)據(jù)格式

????????6、可以通過多種方式過濾包

????????7、多種方式查找包

????????8、通過過濾以多種色彩顯示包

????????9、創(chuàng)建多種統(tǒng)計分析

四、界面的組成

界面組成

五、結合抓包數(shù)據(jù)分析TCP三次握手過程

tcp三次握手

關于TCP三次握手過程如下：

????????????第一次握手：建立連接時，客戶端發(fā)送syn包（syn=j）到服務器，并進入SYN SENT狀態(tài)，等待服務器確認；SYN：即是同步序列編號（Synchronize Sequence Numbers）；

????????????第二次握手：服務器收到syn包，必須確認客戶的SYN（ack=j+1），同時自己也發(fā)送一個SYN包（syn=k），即SYN+ACK包，此時服務器進入SYN RECV狀態(tài)；

????????????第三次握手：客戶端收到服務器的SYN+ACK包，向服務器發(fā)送確認包ACK（ack=k+1），此包發(fā)送完畢，客戶端和服務器進入ESTABLISHED（TCP連接成功）狀態(tài)，完成三次握手。