Wireshark抓包初体验

一、简介

Wireshark是一款非常流行的网络封包分析软件，可以截取各种网络数据包，并显示数据包详细信息。

为了安全考虑，Wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

Wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容

二、实验任务

完成对百度的抓包，获取三次TCP握手的包，同时写清楚过滤条件

本次实验只是简单的进行一次抓包，主要是了解Wireshark这个软件的简单使用

三、实验过程及结果

① 勾选【WLAN2】网卡，点击【开始】，启动抓包。

开始抓包

wireshark启动后，wireshark处于抓包状态中。

wireshark处于抓包状态

② 如果我们想获取百度相关的包，可以设置过滤条件ip.addr == 39.156.66.10

这个IP地址是通过在window CMD命令行ping baidu.com，得到的：

ping baidu.com

这时Wireshark就已经开始抓包了：

抓包百度

③ 下面我们可以在浏览器中输入39.156.66.10/s?word=java

这时Wireshark界面就发生了变化：

TCP三次握手

解释如下：

1. IP地址为10.45.246.179的客户端，发送序列号为Seq=0的报文给IP地址为39.156.66.10的服务器，此为第一次握手；
2. 服务器收到该报文后，返回一个确认号为Ack=1, 序列号为Seq=0的SYN+ACK的报文给客户端，此为第二次握手；
3. 客户端收到来自服务器的响应报文，会将里面的序列号加1赋给新的Ack，同时将里面的Ack赋给新的Seq，即回复一个Seq=1, Ack=1的ACK报文给服务器，此为第三次握手。

注：IP地址为10.45.246.179的客户端可以通过在CMD窗口输入ipconfig/all来查看

本次实验只是对Wireshark的简单尝试使用（最后的三次握手虽然找到了在哪，但是似乎握手失败了），

如果中间存在错误请老师批评指正