TCP:

TCP/IP通過三次握手建立一個連接。這一過程中的三種報文是：SYN，SYN/ACK，ACK。

第一步是找到PC發送到網絡服務器的第一個SYN報文，這標識了TCP三次握手的開始。

如果你找不到第一個SYN報文，選擇Edit -> Find Packet菜單選項。選擇Display Filter，輸入過濾條件：tcp.flags，這時會看到一個flag列表用於選擇。選擇合適的flag，tcp.flags.syn並且加上==1。點擊Find，之後trace中的第一個SYN報文就會高亮出來了。

註意：Find Packet也可以用於搜索十六進制字符，比如惡意軟件信號，或搜索字符串，比如抓包文件中的協議命令。

一個快速過濾TCP報文流的方式是在Packet List Panel中右鍵報文，並且選擇Follow TCP Stream。這就創建了一個只顯示TCP會話報文的自動過濾條件。

這一步驟會彈出一個會話顯示窗口，默認情況下包含TCP會話的ASCII代碼，客戶端報文用紅色表示服務器報文則為藍色。

窗口類似下圖所示，對於讀取協議有效載荷非常有幫助，比如HTTP，SMTP，FTP。

更改為十六進制Dump模式查看載荷的十六進制代碼，如下圖所示：

關閉彈出窗口，Wireshark就只顯示所選TCP報文流。現在可以輕松分辨出3次握手信號。

註意：這裏Wireshark自動為此TCP會話創建了一個顯示過濾。本例中：(ip.addr eq 192.168.1.2 and ip.addr eq 209.85.227.19) and (tcp.port eq 80 and tcp.port eq 52336)

SYN報文：

圖中顯示的5號報文是從客戶端發送至服務器端的SYN報文，此報文用於與服務器建立同步，確保客戶端和服務器端的通信按次序傳輸。SYN報文的頭部有一個32 bit序列號。底端對話框顯示了報文一些有用信息如報文類型，序列號。

SYN/ACK報文：

7號報文是服務器的響應。一旦服務器接收到客戶端的SYN報文，就讀取報文的序列號並且使用此編號作為響應，也就是說它告知客戶機，服務器接收到了SYN報文，通過對原SYN報文序列號加一並且作為響應編號來實現，之後客戶端就知道服務器能夠接收通信。

ACK報文：

8號報文是客戶端對服務器發送的確認報文，告訴服務器客戶端接收到了SYN/ACK報文，並且與前一步一樣客戶端也將序列號加一，此包發送完畢，客戶端和服務器進入ESTABLISHED狀態，完成三次握手。

ARP & ICMP：

開啟Wireshark抓包。打開Windows控制臺窗口，使用ping命令行工具查看與相鄰機器的連接狀況。

停止抓包之後，Wireshark如下圖所示。

ARP和ICMP報文相對較難辨認，創建只顯示ARP或ICMP的過濾條件。

ARP報文：

地址解析協議，即ARP（Address Resolution Protocol），是根據IP地址獲取物理地址的一個TCP/IP協議。其功能是：主機將ARP請求廣播到網絡上的所有主機，並接收返回消息，確定目標IP地址的物理地址，同時將IP地址和硬件地址存入本機ARP緩存中，下次請求時直接查詢ARP緩存。

最初從PC發出的ARP請求確定IP地址192.168.1.1的MAC地址，並從相鄰系統收到ARP回復。ARP請求之後，會看到ICMP報文。

ICMP報文：

網絡控制消息協定（Internet Control Message Protocol，ICMP）用於TCP/IP網絡中發送控制消息，提供可能發生在通信環境中的各種問題反饋，通過這些信息，令管理者可以對所發生的問題作出診斷，然後采取適當的措施解決。

PC發送echo請求，收到echo回復如上圖所示。ping報文被mark成Type 8，回復報文mark成Type 0。

如果多次ping同一系統，在PC上刪除ARP cache，使用如下ARP命令之後，會產生一個新的ARP請求。

C:\> ping 192.168.1.1

... ping output ...

C:\> arp –d *

HTTP：

HTTP協議是目前使用最廣泛的一種基礎協議，這得益於目前很多應用都基於WEB方式，實現容易，軟件開發部署也簡單，無需額外的客戶端，使用瀏覽器即可使用。這一過程開始於請求服務器傳送網絡文件。

從上圖可見報文中包括一個GET命令，當HTTP發送初始GET命令之後，TCP繼續數據傳輸過程，接下來的鏈接過程中HTTP會從服務器請求數據並使用TCP將數據傳回客戶端。傳送數據之前，服務器通過發送HTTP OK消息告知客戶端請求有效。如果服務器沒有將目標發送給客戶端的許可，將會返回403 Forbidden。如果服務器找不到客戶端所請求的目標，會返回404。

如果沒有更多數據，連接可被終止，類似於TCP三次握手信號的SYN和ACK報文，這裏發送的是FIN和ACK報文。當服務器結束傳送數據，就發送FIN/ACK給客戶端，此報文表示結束連接。接下來客戶端返回ACK報文並且對FIN/ACK中的序列號加1。這就從服務器端終止了通信。要結束這一過程客戶端必須重新對服務器端發起這一過程。必須在客戶端和服務器端都發起並確認FIN/ACK過程。

附錄：網絡協議報文結構與抓包示例

TCP/IP協議棧

以太網幀示例

IP數據報格式

IP報文示例

UDP幀結構

TCP消息結構

TCP報文示例

Wireshark使用介紹（二）：應用Wireshark觀察基本網絡協議