抓包神器 Wireshark，帮你快速定位线上网络故障（2）

1

Wireshark：界面与基本操作

正式分享之前，先简单介绍一下 Wireshark。Wireshark 的前称是 Ethereal，该开源软件的功能正如其名，用来还原以太网的真相。

Wireshark 可以捕获网络封包，并尽可能显示出最为详细的网络数据包信息。通过对捕获的包进行分析，可以了解用户的行为和传输的数据内容等。

Wireshark 的主界面如上图示意，主要包含显示过滤器、数据包列表、数据包详细信息、数据包字节流以及状态栏五大部分。在这里要重点提一下过滤器表达式，对于日常快速定位问题很有帮助。

如上图所示，Wireshark 内置了很多过滤器表达式，而且工具本身会对输入的过滤器表达式进行强校验，为了给后续分享做好铺垫，也为了老铁们上手快，简单总结几种常用的过滤方式（切记：未列出的并非不重要）。

一款工具软件罢了，可劲造就是啦，折腾折腾就搞明白怎么使用啦，具体的操作方式就不再赘述，下面将通过 Wireshark 抓包来谈谈面试常提及的 TCP 的三次握手、四次挥手机制。

当用户访问网站时，首先会通过 TCP 协议进行建立连接，然后才发送 HTTP 请求以获取网站的内容。服务端响应客户端的信息，也会通过 TCP 协议传输给客户端。

TCP 协议是因特网中的传输层协议，主要使用三次握手协议建立连接，四次挥手断开连接。

2

Wireshark：看透 TCP 的三次握手

在正式分析 TCP 协议建立连接的数据包之前，先介绍一下它的工作原理，以帮助老铁们更容易理解传输的数据包。其中 TCP 协议三次握手过程如下图所示。

通过对 TCP 三次握手的了解可知，TCP 协议在建立连接时，通过发送不同标志位（如 SYN、SYN+ACK、ACK）的数据包来建立连接，而且每次请求及响应的序列号也不同，接下来通过 Wireshark 抓包来分析一下。

上图显示的就是完整的 TCP 建立连接时“三次握手”的过程，在 7875 -> 2000 中，7875 是客户端的端口，2000 是服务端的端口。7875 端口和 2000 端口之间的三次来回就是“三次握手”过程。

第一次握手：

客户端发送的 TCP 报文中以 [SYN] 作为标志位，并且客户端序号 Seq=0。

第二次握手：

服务端返回的 TCP 报文中以 [SYN，ACK] 作为标志位；并且服务器端序号 Seq=0；确认号 Ack=1，也就是“第一次握手”中客户端序号 Seq 的值+1。

第三次握手：

客户端在向服务端发送的 TCP 报文中以 [ACK] 作为标志位；其中客户端序号 Seq=1，即是“第二次握手”中服务端确认号 Ack 的值；确认号 Ack=1，即是“第二次握手”中服务端序号 Seq 的值 +1。

现在再回头看看 TCP 协议三次握手的过程图，应该不会那么陌生，如果依然很陌生，那就多理解几遍（油从钱孔入而钱不湿，熟能生巧而已），建议用 Wireshark 自己抓包分析一番。

3

Wireshark：体会 TCP 的四次挥手

TCP 协议建立连接需要三次握手，而断开一个连接则需要经过四次挥手，其中 TCP 协议四次挥手过程如下图所示。

感兴趣的老铁，希望能亲自通过 Wireshark 去分析一把 TCP 的四次挥手，本次不做阐述，争取下次窥探 HTTP 协议的报文时再把 TCP 的四次挥手机制给演示一下。

4

写在最后：为什么分享 Wireshark？

第一次接触 Wireshark 距离至今已有 10 年，但是最近才真正开始推动团队去使用这款软件去分析问题，因为负责的团队与银行、三方交互的比较多，存在很多扯皮、甩锅而导致的效率低下，希望能把问题都摆在桌面上，进而让因为网络环境而导致纠缠不清的边界问题越发清晰。

鉴于并非 Wireshark 大神，所以会结合团队中遇到的问题，并尽量多的查阅资料、书籍，希望每篇分享能够准确，真心希望每篇分享对大家都有所帮助。

本次 Wireshark 分享就写到这里，接下来会借助 Wireshark 来窥探一下 HTTP 报文（真的毫无隐私可言），敬请期待。

一起聊技术、谈业务、喷架构，少走弯路，不踩大坑。会持续输出原创精彩分享，敬请期待！