当前位置：首页 > article >正文

别再死记硬背了！用Wireshark抓包实战，5分钟搞懂TCP三次握手和四次挥手

article 2026/5/2 22:51:45

从抓包实战到协议本质用Wireshark透视TCP/IP协议栈的运作奥秘当你打开浏览器输入网址时背后究竟发生了什么那些抽象的网络协议概念是否总让你感到困惑今天我们将打破传统学习方式用Wireshark这款网络分析利器带你亲历数据包的生命周期从现象反推原理真正理解TCP/IP协议栈的工作机制。1. 环境准备与Wireshark基础配置在开始抓包前我们需要搭建合适的实验环境。推荐使用最新版Wireshark3.6.0它对现代网络协议的支持更完善。安装时注意勾选Install WinPcap/Npcap选项这是抓包必需的驱动组件。关键配置步骤选择正确的网卡通常有线连接选Ethernet无线选Wi-Fi设置捕获过滤器tcp port 80可只捕获HTTP流量启用协议解析确保Analyze → Enabled Protocols中TCP/IP相关协议全部勾选提示初次使用时建议关闭Promiscuous mode混杂模式避免捕获过多无关流量影响分析。一个实用的显示过滤器模板# 常用显示过滤器组合 (tcp.flags.syn1 or tcp.flags.fin1) and !(ip.addr192.168.1.1) # 过滤握手/挥手包 http.request.methodGET # 仅显示HTTP GET请求 dns.qry.name contains baidu # 筛选特定域名DNS查询2. TCP三次握手的可视化解析让我们以访问百度为例观察TCP连接建立的全过程。在Wireshark中开始捕获后浏览器访问www.baidu.com然后停止捕获。典型三次握手流程数据包方向关键字段状态转换1Client→ServerSYN1, SeqXCLIENT: SYN_SENT2Server→ClientSYN1, ACK1, SeqY, AckX1SERVER: SYN_RCVD3Client→ServerACK1, SeqX1, AckY1双方: ESTABLISHED在Wireshark中这三个连续的数据包会被标记为[SYN]、[SYN, ACK]和[ACK]。右键任意包选择Follow → TCP Stream可以查看完整会话。异常情况分析如果只看到[SYN]重传可能防火墙拦截收到[RST]响应表示连接被拒绝[SYN, ACK]后无响应可能是客户端问题# 用scapy模拟TCP握手仅教学演示 from scapy.all import * syn IP(dstwww.baidu.com)/TCP(dport80, flagsS) syn_ack sr1(syn) ack IP(dstwww.baidu.com)/TCP(dport80, flagsA, seqsyn_ack.ack, acksyn_ack.seq1) send(ack)3. TCP四次挥手的深入观察连接终止过程往往比建立更复杂。在Wireshark中捕获浏览器关闭时的流量会看到典型的四次挥手主动方发送FIN[FIN, ACK]SeqX, AckY被动方确认[ACK]SeqY, AckX1被动方发送FIN[FIN, ACK]SeqY, AckX1主动方确认[ACK]SeqX1, AckY1常见变体延迟确认步骤2和3可能合并同时关闭双方同时发送FIN形成交叉确认半关闭一方发送FIN后仍能接收数据注意TIME_WAIT状态会维持2MSL通常1-4分钟这是TCP设计的重要特性而非缺陷用于处理延迟到达的数据包。4. 关联协议全景分析TCP连接建立前其实已经历了多个协议层的协作ARP解析将网关IP转为MAC地址过滤器arp.opcode 1请求或arp.opcode 2响应DNS查询域名到IP的转换关键字段dns.flags.response 0查询1响应TCP连接真正的三次握手HTTP通信应用层数据传输协议栈交互时间线示例时间协议源地址 → 目的地址摘要0.000DNS192.168.1.100 → 8.8.8.8查询 www.baidu.com0.032DNS8.8.8.8 → 192.168.1.100响应 CNAME→A记录0.033TCP192.168.1.100 → 110.242.68.3[SYN] Seq00.065TCP110.242.68.3 → 192.168.1.100[SYN, ACK] Seq0 Ack10.065TCP192.168.1.100 → 110.242.68.3[ACK] Seq1 Ack10.066HTTP192.168.1.100 → 110.242.68.3GET / HTTP/1.15. 实战技巧与高级分析方法流量对比诊断正常访问与异常访问的抓包对比不同浏览器/设备的协议行为差异有线与无线环境下的延迟分析统计工具应用Statistics → Flow Graph查看会话时序Statistics → Protocol Hierarchy分析协议占比IO Graphs绘制流量变化曲线自定义着色规则# 在View → Coloring Rules中添加 TCP SYN - 亮蓝色背景 TCP FIN - 粉红色背景 TCP RST - 红色文字 DNS Response - 浅绿色背景 HTTP GET - 紫色文字6. 常见问题排查思路当遇到网络连接问题时可以按照以下顺序排查物理层网线/Wi-Fi信号是否正常链路层ARP是否成功arp -a验证网络层能否ping通网关和DNSping 8.8.8.8传输层TCP握手是否完成Wireshark验证应用层服务端口是否监听telnet IP 端口测试典型故障案例SYN无响应检查防火墙规则频繁重传网络拥塞或MTU不匹配连接重置服务端进程崩溃慢启动现象观察TCP窗口缩放在实际项目调试中我习惯先保存基准正常的抓包文件再与异常情况进行逐字段对比。这种方法在排查TLS握手失败、HTTP/2协议不兼容等问题时特别有效。

别再死记硬背了！用Wireshark抓包实战，5分钟搞懂TCP三次握手和四次挥手

相关文章：

别再死记硬背了！用Wireshark抓包实战，5分钟搞懂TCP三次握手和四次挥手

LLM驱动的HLS代码生成评估框架Bench4HLS解析

Sophgo SG2380：RISC-V桌面级处理器与AI加速解析

别急着重启！深入理解Calico BIRD进程假死与K8s节点网络恢复

产品经理必看：如何利用GB/T 4754-2017行业分类，精准定义你的用户画像和市场

Stacklit：基于文件系统的现代化文档聚合平台搭建指南

从MIPS到TOPS：算力单位进化史，以及为什么今天的AI芯片评测更复杂了

AI编程工具配置统一管理：ai-setting项目实战指南

构建AI智能体流水线自动化评估平台：从质量基线到科学迭代

AI代理管理框架aimgr：构建多智能体系统的模块化架构与实践

扩散模型与S3-DiT架构：多模态生成式AI技术解析

扩散模型与流匹配在在线强化学习中的优化实践

GEM框架：强化学习环境构建与多智能体交互实践

深入解析Legacy-iOS-Kit：iOS设备降级与系统恢复的专业工具集

Mulch框架：为AI编程助手构建持久化记忆与知识库

新手网工避坑指南：从华为HCIA题库里总结的10个真实网络配置“翻车”现场

Go语言pgxcursor库：PostgreSQL大数据流式处理与内存优化实践

在客服工单系统中集成大模型实现智能回复

AI驱动零代码开发：用Cursor Composer快速构建Next.js导航站

开源机械臂OpenClaw-EcoBot：低成本高自由度机器人开发实践

clawdmint-plugin：插件化数据清洗与格式化实战指南

Cadence Allegro 16.6保姆级教程：从Gerber到钢网，PCB打样前必须导出的7个文件

从工具配置到工程能力：掌握CI/CD流水线核心技能与实践指南

B站视频永久保存专业指南：m4s-converter快速转换工具完整教程

JDspyder深度解析：构建毫秒级京东抢购系统的架构与实战指南

基于MCP协议的AI原生测试：用自然语言驱动Flutter等多平台应用自动化

因果注意力机制与动态监督优化提升生成模型质量

视频字幕生成模型指令跟随能力评估工具IF-VidCap详解

SecureCode：AI代码生成安全的多轮对话数据集

Cloudless-Sky：声明式应用部署工具，简化Kubernetes与多云管理