Wireshark实践
1.在打开Wireshark后首先要做的就是选择所要捕获的数据包,在这里我们选择捕获主机的上网方式,随后点击开始就可以开始捕获了,并且显示器上的数据是在不断变化的
2.配合wireshark使用的另一个利器是cmd,在cmd中可以实现ping(利用它可以检查网络是否能够连通,用 好它可以很好地帮助我们分析判定网络故障)ping的基本格式是ping +所想的网站,当然该命令也可以添加许多参数进来
在敲击Enter后,就可以得到下图的结果了,方括号内的为ip地址,时间为延迟,TTL为报文在网络中存活的限制,超出某一特定时间,最后一个收到报文的路由器就会将其丢弃
3.在观察显示器给予的数据后,可以发现有很多数据是无效的,所以就需要我们加以筛选,从而找到我们所要的,在显示过滤器中筛选是要注意用到ip.addr时需要使用两个等于号,从而就能将其筛选出来了
4.拿ping www.baidu.com为例,在下图中经筛选后,可以看到前几个protocol类型为TCP,就是进行了三次握手的过程,并且从中可以观察到SYN、Seq、Ack等的变化,ACK :标志位,表示已经收到记录、Seq = 1 :表示当前已经发送1个数据、Ack = 1 : 表示当前端成功接收的数据位数,虽然服务端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)就这样通过了TCP三次握手,建立了连接。开始进行数据交互
在对每个数据包进行详细分析时,可以双击打开,从而查看具体的状态,以下三张图依次表示了
