1

 复习：TCP 三次握手&四次挥手 

正式分享之前，先简单复习一下 TCP 的三次握手、四次挥手。

TCP 通过三次握手建立连接（一图解千愁）：

TCP 协议通过四次挥手断开连接（一图知所有）：

2

 Wireshark：窥探 HTTP 的协议包 

HTTP 的工作方式其实很简单，首先由客户端向服务端发起一个请求，然后再由服务端回复一个响应。依据不同的场景，客户端发送的请求会用到不同方法，有 GET、POST、PUT 和 HEAD 等。

接下来将结合 Wireshark 抓到的包，来窥探一下 HTTP 是如何工作的。

如上图所示，抓取了从 10.1.1.101 访问 http://10.1.1.1:80/ 时的协议包。

由于 HTTP 协议基于 TCP 实现，一次完整的 HTTP 请求响应主要分三次握手、数据传输（请求&响应）、四次挥手三个阶段，我们一层一层拨开了去看。

阶段一：三次握手（建立连接）

由于 HTTP 协议基于 TCP，所以上来要进行三次握手，并且能够看出客户端地址为 10.1.1.101，端口为 3177，服务端地址为 10.1.1.1，端口为 80，通过三次握手建立连接后，便可以向服务端发送请求传输内容了。

阶段二：请求&响应（数据传输）

上面截图中的 4 号包是客户端向服务端发送“GET / HTTP/1.1”请求，即通过 1.1 版的 HTTP 协议发送请求，协议包内容如下。

通过上面抓包，能够清晰看出请求方式为 GET，以及客户端的一些环境信息，请求相关的信息，清晰可见。这里多关注一下 Response in frame：6，告诉请求对应的响应包是 6 号包，接下来打开 6 号包看一下响应内容。

6 号包是服务端对客户端请求的响应，即把响应页面内容发给客户端，通过上图能够看出响应的是一个 HTML 页面，内容清晰可见。

阶段三：四次挥手（断开连接）

如上图示意，可以看到四次断开的挥手包，编号分别为 7、8、9 和11。从 Info 列可以看到这四个包的标志位分别为 FIN,ACK、ACK、FIN,ACK 和 ACK。下面依次分析 TCP 的四次断开连接数据包。

第一次挥手：

源端口 80 向目标端口 3177，发送 FIN 数据报，序列号为 436，确认序列号为 477。从 Flags 分支中可以看到该报文的标志位为 FIN,ACK。其中，ACK 和 FIN 标志位值为 1，其它标志位都为 0。

第二次挥手：

如上图所示，从 TCP 协议层可以看到，源端口为 3177，目标端口为 80，序列号为 477，确认号为 437。从 Flags 分支中可以看到，当前报文的标志位为 ACK。其中 ACK 标志位值为 1，其他标志位都为 0。

第三次挥手：

如上图所示，从 IP 协议层可以看到，源地址为 10.1.1.101，目标 IP 地址为 10.1.1.1。从 TCP 协议层可以看到，源端口为 3177，目标端口为 80，序列号为 477，确认号为 437。从 Flags 分支中可以看到该报文的标志位为 FIN,ACK。其中 ACK 和 FIN 标志位值为 1，其它标志位都为 0。

第四次挥手：

如上图所示，可以看到源端口为 80，目标端口为 3177，序列号为437，确认号为 478。从 Flags 分支中可以看到该报文的标志位为ACK。其中 ACK 标志位值为 1，其它标志位都为 0。

到这，虽然只分析了一个简单 HTTP 请求，但是结合 Wirkeshark 细细去想，整个通信过程确实还挺复杂，不过整个过程确实是一览无遗，那么试想一下平时的聊天记录，是否会被（BOSS）发现？很不幸，答案是肯定的。

3

 Wireshark：HTTP 响应分析 

借助 Wireshark 的“显示分组字节”功能，很容易就能看到 HTTP 的响应内容。

例如1：从服务端下载文件

上面截图是通过 Wireshark 分析下载图片的数据包，借助 Wireshark 的“显示分组字节”功能，便可轻松看到图片内容。

例如2：服务端响应 HTML

借助 Wireshark 的“显示分组字节”功能，很轻松看到服务端响应给客户端的 HTML 内容。

感兴趣的老铁，纸上得来终觉浅，希望能亲自通过 Wireshark 好好去体验体验。

4

 写在最后 

本次 Wireshark 分享就写到这里，为了能够让分享不出现纰漏，查阅了很多文档、书籍以及官方资料，归纳汇总一下给老铁，希望对老铁能有所帮助。

资料分享：

经典例子：https://gitlab.com/wireshark/wireshark/-/wikis/SampleCaptures

官方文档：https://www.wireshark.org/docs/wsug_html_chunked/

文章分享的数据包可以从这里 get 到：

https://gitlab.com/wireshark/wireshark/-/wikis/uploads/__moin_import__/attachments/SampleCaptures/http_with_jpegs.cap.gz https://gitlab.com/wireshark/wireshark/-/wikis/uploads/__moin_import__/attachments/SampleCaptures/200722_tcp_anon.pcapng

参考书籍：

《从实践中学习Wireshark数据分析》

《Wireshark网络分析就是这么简单》

一起聊技术、谈业务、喷架构，少走弯路，不踩大坑。会持续输出精彩分享，敬请期待！

历史推文（欢迎转发&点赞&在看）：

抓包神器 Wireshark，帮你快速定位线上网络故障（1）

抓包神器 Wireshark，帮你快速定位线上网络故障（2）

真实|技术人员该如何接手一个复杂的系统？吐血推荐这几招