啟動 點選start出現下面的對話方塊  
wireshark是捕獲機器上的 某一塊網絡卡的網路包，當機器上有多塊網絡卡的時候，需要選擇一個網絡卡進行捕獲操作。 選擇網絡卡 >主頁面上，直接點選選中後start >capture->interfaces，選擇後start  
視窗介紹
1. Display Filter(顯示過濾器)， 用於過濾已經捕獲到的資料    PS:過濾器分為顯示過濾器和捕獲過濾器。捕獲過濾器用來過濾捕獲的封包，以免捕獲到過多的資料。        捕獲過濾器的設定方式，capture->capture filters 2. Packet List Pane(封包列表)， 顯示捕獲到的封包， 有源地址和目標地址，埠號。 顏色不同，代表不同的協議。 3. Packet Details Pane(封包詳細資訊), 顯示封包中的欄位     各行資訊說明如下：          Frame:  物理層的資料幀概況  Ethernet II:  資料鏈路層乙太網幀頭部資訊  Internet Protocol Version 4:  網際網路層IP包頭部資訊 Transmission Control Protocol:  傳輸層T的資料段頭部資訊  Hypertext Transfer Protocol:  應用層的資訊 4. Dissector Pane(16進位制資料)   16進位制資料檢視面板，也叫做解析器。這裡顯示的內容與“封包詳細資訊”中相同，只是改為以16進位制的格式表述。 5. Miscellanous(位址列) 三次握手抓包過程分析   首先來一張三次握手經典圖解

下面使用wireshark實際分析三次握手過程 1.開啟wireshark，開啟瀏覽器輸入網址blog.csdn.net/hello_yz並訪問； 2.停止捕獲 ，紅方塊。不停止的話後面一直抓一直抓......； 3.在封包列表中可以找到下圖資料：      在圖中可以看到，訪問blog.csdn.net/hello_yz網站過程中，wireshark截獲到了三次握手的三個資料包，第四個包才是http的。這也說明http確實是使用TCP建立連線的。 下面進行三個資料包的詳細分析。 首先對 封包詳細資訊分析說明 選中一條TCP協議資料包，它的封包詳細資訊如下圖：  
第一次握手資料包，可以看到客戶端傳送一個TCP，標誌位為SYN，序列號為0， 代表客戶端請求建立連線。如下圖：  
第二次握手資料包，可以看到伺服器發回確認包, 標誌位為 SYN,ACK. 將確認序號ACK設定為1.如下圖：  
第三次握手資料包，可以看到客戶端再次傳送確認包(ACK) ，標誌位為ACK，將sequence+1.如下圖：  
經過上述三次握手過程，即建立了HTTP連線。 當三次握手無法順利進行時，也就不能建立連線。 為了避免抓到過多冗餘資料，可以進行捕獲過濾器設定 在host檔案中新增如下資料便於測試 捕獲過濾器設定如下圖： capture->capture filter->new  
Filter name自己隨意取，host www.oa.com表示只捕獲主機名為www.oa.com的資料包 然後，capture->option,選好之後start  
抓到的資料包如下所示，可以看到在客戶端發出第一次握手的請求後，沒有得到伺服器的應答，握手失敗，無法建立連線。

http://www.cnblogs.com/dyllove98/p/3192083.html