（二）：應用Wireshark觀察基本網絡協議 · 一站式學習Wireshark

**TCP:** TCP/IP通過三次握手建立一個連接。這一過程中的三種報文是：SYN，SYN/ACK，ACK。第一步是找到PC發送到網絡服務器的第一個SYN報文，這標識了TCP三次握手的開始。如果你找不到第一個SYN報文，選擇**Edit -> Find Packet**菜單選項。選擇Display Filter，輸入過濾條件：tcp.flags，這時會看到一個flag列表用于選擇。選擇合適的flag，tcp.flags.syn并且加上==1。點擊Find，之后trace中的第一個SYN報文就會高亮出來了。 ![](https://box.kancloud.cn/2015-09-09_55efb066be128.jpg) 注意：Find Packet也可以用于搜索十六進制字符，比如惡意軟件信號，或搜索字符串，比如抓包文件中的協議命令。一個快速過濾TCP報文流的方式是在**Packet List Panel**中右鍵報文，并且選擇**Follow TCP Stream**。這就創建了一個只顯示TCP會話報文的自動過濾條件。這一步驟會彈出一個會話顯示窗口，默認情況下包含TCP會話的ASCII代碼，客戶端報文用紅色表示服務器報文則為藍色。窗口類似下圖所示，對于讀取協議有效載荷非常有幫助，比如HTTP，SMTP，FTP。 ![](https://box.kancloud.cn/2015-09-09_55efb06712e97.jpg) 更改為十六進制Dump模式查看載荷的十六進制代碼，如下圖所示： ![](https://box.kancloud.cn/2015-09-09_55efb067325c3.jpg) 關閉彈出窗口，Wireshark就只顯示所選TCP報文流。現在可以輕松分辨出3次握手信號。 ![](https://box.kancloud.cn/2015-09-09_55efb067b52f4.jpg) 注意：這里Wireshark自動為此TCP會話創建了一個顯示過濾。本例中：(ip.addr eq 192.168.1.2 and ip.addr eq 209.85.227.19) and (tcp.port eq 80 and tcp.port eq 52336) **SYN**報文：圖中顯示的5號報文是從客戶端發送至服務器端的SYN報文，此報文用于與服務器建立同步，確保客戶端和服務器端的通信按次序傳輸。SYN報文的頭部有一個32 bit序列號。底端對話框顯示了報文一些有用信息如報文類型，序列號。 **SYN/AC**K報文： 7號報文是服務器的響應。一旦服務器接收到客戶端的SYN報文，就讀取報文的序列號并且使用此編號作為響應，也就是說它告知客戶機，服務器接收到了SYN報文，通過對原SYN報文序列號加一并且作為響應編號來實現，之后客戶端就知道服務器能夠接收通信。 **ACK**報文： 8號報文是客戶端對服務器發送的確認報文，告訴服務器客戶端接收到了SYN/ACK報文，并且與前一步一樣客戶端也將序列號加一，此包發送完畢，客戶端和服務器進入[ESTABLISHED](http://baike.baidu.com/view/1137549.htm)狀態，完成三次握手。 **ARP & ICMP：** 開啟Wireshark抓包。打開Windows控制臺窗口，使用ping命令行工具查看與相鄰機器的連接狀況。 ![](https://box.kancloud.cn/2015-09-09_55efb067d399e.jpg) 停止抓包之后，Wireshark如下圖所示。 ARP和ICMP報文相對較難辨認，創建只顯示ARP或ICMP的過濾條件。 ![](https://box.kancloud.cn/2015-09-09_55efb0680df4d.jpg) **ARP**報文：地址解析協議，即ARP（Address Resolution Protocol），是根據[IP地址](http://baike.baidu.com/view/3930.htm)獲取[物理地址](http://baike.baidu.com/view/883168.htm)的一個[TCP/IP協議](http://baike.baidu.com/view/7649.htm)。其功能是：[主機](http://baike.baidu.com/view/23880.htm)將ARP請求[廣播](http://baike.baidu.com/view/35385.htm)到網絡上的所有主機，并接收返回消息，確定目標[IP地址](http://baike.baidu.com/view/3930.htm)的物理地址，同時將IP地址和硬件地址存入本機ARP緩存中，下次請求時直接查詢ARP緩存。最初從PC發出的ARP請求確定IP地址192.168.1.1的MAC地址，并從相鄰系統收到ARP回復。ARP請求之后，會看到ICMP報文。 **ICMP**報文：網絡控制消息協定（Internet Control Message Protocol，ICMP）用于[TCP/IP](http://zh.wikipedia.org/wiki/TCP/IP)網絡中發送控制消息，提供可能發生在通信環境中的各種問題反饋，通過這些信息，令管理者可以對所發生的問題作出診斷，然后采取適當的措施解決。 PC發送echo請求，收到echo回復如上圖所示。ping報文被mark成Type 8，回復報文mark成Type 0。如果多次ping同一系統，在PC上刪除ARP cache，使用如下ARP命令之后，會產生一個新的ARP請求。 C:\> ping 192.168.1.1 … ping output … C:\> arp –d * **HTTP：** HTTP協議是目前使用最廣泛的一種基礎協議，這得益于目前很多應用都基于WEB方式，實現容易，軟件開發部署也簡單，無需額外的客戶端，使用瀏覽器即可使用。這一過程開始于請求服務器傳送網絡文件。 ![](https://box.kancloud.cn/2015-09-09_55efb068d9bbf.jpg) 從上圖可見報文中包括一個GET命令，當HTTP發送初始GET命令之后，TCP繼續數據傳輸過程，接下來的鏈接過程中HTTP會從服務器請求數據并使用TCP將數據傳回客戶端。傳送數據之前，服務器通過發送HTTP OK消息告知客戶端請求有效。如果服務器沒有將目標發送給客戶端的許可，將會返回403 Forbidden。如果服務器找不到客戶端所請求的目標，會返回404。如果沒有更多數據，連接可被終止，類似于TCP三次握手信號的SYN和ACK報文，這里發送的是FIN和ACK報文。當服務器結束傳送數據，就發送FIN/ACK給客戶端，此報文表示結束連接。接下來客戶端返回ACK報文并且對FIN/ACK中的序列號加1。這就從服務器端終止了通信。要結束這一過程客戶端必須重新對服務器端發起這一過程。必須在客戶端和服務器端都發起并確認FIN/ACK過程。