使用Wireshark分析网络数据

一、

Wireshark中查看TCP的三次握手和四次挥手：

上面的数据发送和接收两部分的info提示都是 [TCP segment of a reassembled PDU]，网上的解释是TCP分片的提示，但我只是发送和接收了十几个字节数据，远未超过MSS值。后来换了服务器模式（原来用的是简单阻塞模式的TCP socket服务器模型，现在换成了异步完成端口模型），发现数据发送和接收两部分的info提示变成了[PSH, ACK]，如下图，暂时还不知道为什么会有这种区别。

从上图可以看到：

1、刚开始双方数据的序号都为0(seq=0)，然后会随着发送数据的增长而增长，因为序号就是本数据报的第一个数据字节在整个发送数据流中的偏移量。而SYN和FIN包虽然一般不携带数据但他们占一个字节的数据流空间，ACK包则不占用数据流空间，所以在发送SYN/FIN/SYN+ACK/FIN+ACK包后seq会加1，而发送ACK包后seq不变。一般情况下报文的确认号(ack)会与下次收到的对方发来数据的序号(seq)相同，除非发生了乱序。

2、ACK包是可以和SYN、PSH、FIN和并发送以节省时间的（TCP帧头中对应标志位置1），比如三次握手中的SYN+ACK，四次挥手中的FIN+ACK，发送数据中的PSH+ACK。注意这里的第三次挥手也为FIN+ACK，而这里我没看出前面有什么数据要进行确认，还有第一次发送数据的时候也是这样，多了一个ACK标志，为PSH+ACK，为什么会这样呢？我个人猜测可能是这样做就不用判断前面还有没有数据要确认：对于数据传输报文和关闭连接报文不管前面有没有要确认的数据都将ACK标志置1，方便快捷，也不会带来什么问题。

PSH强调的是尽快将数据交付给上层，TCP接收方在收到PSH置位的数据报文后会立即将缓冲区中数据发送给上层，而如果TCP接收方收到的是PSH没有置位的报文，则会等待缓冲区满才将缓冲区中数据发送给上层。那么什么时候PSH位会被置1呢？经我测试发现，如果不是分片数据或者是最后一个分片数据，PSH会被置位，标志位为PSH+ACK，如果是分片数据但不是最后一个分片数据，PSH不会被置位，标志位只有ACK。

3、报文信息中的Len表示携带数据的大小；Win是本端"接收窗口"的大小，用来告知对端，从而控制对端"发送窗口"的大小，以达到控制传输流量。

4、MSS称为最大分段大小，在上图中可以看到在双方连接的时候会发送自身MSS值，而这个MSS值是根据本机MTU计算而来的：MSS = MTU - IP报文头的20bytes - TCP报文头的20bytes，TCP协议会选择双方较小的mss作为TCP分片的大小。因为以太网MTU是1500或者大于1500，所以用Wareshark查看TCP三次握手中双方发送的MSS值都为1460。

二、

过滤器分为两种，一种是捕捉过滤器，一种是显示过滤器。下面是Wireshark中一些常用的显示过滤器设置：

过滤IP地址、源IP地址、目的IP地址：ip.addr == 192.168.0.38、ip.src==1.1.1.1、ip.dst==192.168.101.8。

标识过滤：显示包含TCP SYN标志的封包：tcp.flags.syn == 0x02`。

端口过滤、目的端口过滤、源端口过滤：tcp.port==6000、tcp.dstport==6000、tcp.srcport==6000。

协议过滤（直接输入协议名）：tcp、http。

使用连接符and（&&）、or（||）：ip.src==1.1.1.1 and tcp.port==6000、ip.src==1.1.1.1 or ip.src==2.2.2.2。

http模式过滤，如过滤get方法：http.request.method=="GET"；过滤整个URL：http.request.full_uri == "http://www.sac.net.cn/tzgg/"；过滤所有http请求：http.request==1；过滤所有http响应：http.response==1；过滤URL中包含指定内容：http.request.full_uri contains "www.sac.net"；过滤域名：http.host == "www.sac.net.cn"，http.host contains "sac"；

三、

Wireshark中TCP常见错误状态：

TCP Previous segment not captured  乱序包
TCP Retransmission  重传包
TCP fast retransmission  快速重传包
TCP Dup ACK  报文丢失ACK