当前位置：首页 > article >正文

Wireshark过滤规则、OSI模型与TCP三次握手详解

article 2026/4/8 4:58:56

本文内容有以下三个部分wireshark过滤规则osi模型简述tcp三次握手一、wireshark过滤规则wireshark只是一个抓包工具用其他抓包工具同样能够分析tcp三次握手协议。例如Sniffmaster是一款全平台抓包工具支持HTTPS、TCP和UDP协议可在iOS/Android/Mac/Windows设备上实现无需代理、越狱或root的抓包操作提供免费强大的代理抓包功能。以下这张图片完整地展现了wireshark的面板。使用好wireshark一个关键是如何从抓到的众多的包中找到我们想要的那一个。这里就要说filter过滤规则了。如上图在过滤器方框我们加上了ip.src192.168.1.102 or ip.dst192.168.1.102的过滤规则意思是在封包列表中只显示源ip地址为192.168.1.102或者目的ip地址为192.168.1.102的包。下面列举一些常用的过滤规则过滤IP如来源IP或者目标IP等于某个IP如前面说的例子 ip.src192.168.1.102 or ip.dst192.168.1.102比如TCP只显示TCP协议。过滤端口tcp.dstport 80 // 只显tcp协议的目标端口80tcp.srcport 80 // 只显tcp协议的来源端口80也可以写成tcp.port eq 80 or udp.port eq 80 这样的模式过滤协议单独写上tcp、udp、xml、http就可以过滤出具体协议的报文。你也可以用tcp or xml这样格式来过滤。我们还可以更加具体过滤协议的内容如tcp.flags.syn 0x02 表示显示包含TCP SYN标志的封包。过滤mac地址eth.src eq A0:00:00:04:C5:84 // 过滤来源mac地址eth.dstA0:00:00:04:C5:84 // 过滤目的mac地址http模式过滤http.request.method “GET”http.request.method “POST”http.request.uri “/img/logo-edu.gif”http contains “GET”http contains “HTTP/1.”// GET包http.request.method “GET” http contains “Host: ”http.request.method “GET” http contains “User-Agent: ”// POST包http.request.method “POST” http contains “Host: ”http.request.method “POST” http contains “User-Agent: ”// 响应包http contains “HTTP/1.1 200 OK” http contains “Content-Type: ”http contains “HTTP/1.0 200 OK” http contains “Content-Type: “过滤内容contains包含某字符串ip.src192.168.1.107 and udp contains 02:12:21:00:22ip.src192.168.1.107 and tcp contains “GET”前面也有例子http contains “HTTP/1.0 200 OK” http contains “Content-Type: “更加高级的用法就不讨论了读者有兴趣可以查阅 wireshark官网用户手册。二、osi模型简述OSI定义了网络互连的七层框架物理层、数据链路层、网络层、传输层、会话层、表示层、应用层即ISO开放互连系统参考模型。如下图左边部分。在每个分层中都会对所发送的数据附加一个首部在这个首部中包含了该层必要的信息如源ip地址和目的ip地址等。osi模型中在下一层的角度看当收到上一层的包时全部会被认为是本层的数据然后在本层中加上自己本层的首部继续往下传递。一个数据包格式如下举一个例子比如客户端应用程序A向远端服务器应用程序B发送“早上好”的数据那么大致流程是这样的应用程序A把数据发送给下一层的TCP模块。TCP模块属于传输层。TCP在应用层数据的前端加上一个TCP首部。TCP首部中包含源端口号和目标端口号等信息。然后将包发送给IP模块。IP模块属于网络层。IP将TCP传过来的TCP首部和TCP数据合起来当做自己的数据并且在TCP首部的前面加上自己的IP首部。IP首部包含了源ip地址和目的ip地址。然后IP包将被发送给数据链路层也就是以太网驱动程序。从IP传过来的包对于以太网驱动程序来说不过就是数据。给这些数据加上以太网首部里面包含了源MAC地址和目的MAC地址。然后再通过物理层把数据发送给目的MAC地址。服务器物理层接收到来自客户端的数据包时首先从以太网的包首部找到MAC地址判断是否为发给自己的包如果不是就丢弃如果是就向上转移给IP模块解析。IP模块收到IP包首部和后面的数据以后判断包首部的目的ip地址与自己的ip地址是否匹配如果匹配就接收数据并传给TCP模块处理。TCP模块会检查端口号确定接收数据的应用程序是哪一个。应用程序接收到数据包之后也会根据自己的规则判断做出一系列的处理。通过上面例子大致的过程可以体会到从上而下发包再到从下而上收包的过程。三、tcp三次握手上图为tcp三次握手很多书籍都能看到。TCP提供面向有连接的通信传输在数据通信开始之前先做好通信两端之间的准备工作。也就是说必须握手成功之后才能进行通信。接下来用wireshark来抓取tcp三次握手报文。打开浏览器输入 http://blog.csdn.net/u014530704/article/。运用我们再前面介绍的过滤规则在过滤框中输入http contains u014530704找到如下包可以发现我们向服务器请求的包其中目的ip地址是47.95.165.112。这个地址是blog.csdn.net的ip地址。然后我们找 ip.src47.95.165.112 or ip.dst47.95.165.112 的包找到了如下红色方框为本机192.168.1.101和服务器47.95.165.112之间的三次握手协议。三次握手协议的过程为客户端通过TCP首部发送一个SYN包作为建立连接的请求等待确认应答。服务器发送ACK包确认应答发送SYN包请求连接。客户端针对SYN包发送ACK包确认应答。最后讲述一下看懂报文的方法。想要读懂tcp报文头部至关重要对着下图去看wireshark tcp报文并且找到tcp首部各个字段代表的意思你就能读懂tcp报文了。其他像以太网报文、ip报文、http报文等同样如此。

Wireshark过滤规则、OSI模型与TCP三次握手详解

相关文章：

Wireshark过滤规则、OSI模型与TCP三次握手详解

OpenClaw技能推荐：百川2-13B-4bits最适合的5个办公自动化技能

启程代码学习之旅

OpenClaw极简配置法：1条命令启动Qwen3.5-9B-AWQ-4bit沙盒体验

Qwen3-14B制造业供应链协同：采购需求解析+供应商沟通话术生成

OpenClaw知识管理：千问3.5-9B构建个人知识图谱

膜结构工程：从方案设计到施工落地的完整解析

阿里云YUM源配置避坑指南

微信群自动回复机器人

虚幻引擎资产管理工具

在瑞芯微RK3568上，用Qt5+EGL实现零拷贝离屏渲染的完整避坑指南

Ultrascale+ MPSOC PL端以太网调试实录：从DHCP失败到Telnet成功的踩坑全记录

为什么你的MCP接入总失败？揭秘CPython解释器层与MCP v2.3.1握手协议的3个隐式约束条件

KL散度在VAE中的应用：为什么高斯分布假设如此重要？

别再只跑Demo了！手把手教你用YOLOv5/v8训练自己的钢材缺陷数据集并部署成Web服务

避开FMC的那些‘坑’：正点原子F429开发板驱动TFT屏和SDRAM的实战避坑指南

SEO_为什么你的SEO没效果？关键原因分析

SEO关键词优化和广告投放的关系是什么

云南塑料管公司哪家好

OpenClaw技能扩展：安装Phi-3-mini-128k-instruct专用Markdown处理器

使用C#代码将 HTML 转换为 PDF、XPS 和 XML

新手必看！AutoGen Studio界面详解与模型配置全流程

智能车竞赛实战：用英飞凌TC264库函数手把手教你理解C语言高级特性

Leather Dress Collection开源镜像实操手册：236MB轻量LoRA集合快速上手

AWS注册总失败？可能是你的浏览器或网络设置有问题（附详细排查流程）

NokiaLCD库：扩展PCF8833 LCD显示宽度至128像素

应对“中年危机”的前置策略：留学生入职第一天就该考虑的事情——如何建立你的“被动求职”网络？

自动驾驶决策系统C++性能瓶颈诊断与突破（2024实车路测数据验证的7个反模式清单）

OpenClaw模型微调指南：千问3.5-35B-A3B-FP8适配专属任务

面试现场的“AI 对话感”：为什么 2026 年的面试官更喜欢“像跟 AI Pair Programming”一样的沟通节奏？