TCP:

TCP/IP通過(guò)三次握手建立一個(gè)連接。這一過(guò)程中的三種報(bào)文是：SYN，SYN/ACK，ACK。

第一步是找到PC發(fā)送到網(wǎng)絡(luò)服務(wù)器的第一個(gè)SYN報(bào)文，這標(biāo)識(shí)了TCP三次握手的開(kāi)始。

如果你找不到第一個(gè)SYN報(bào)文，選擇Edit -> Find Packet菜單選項(xiàng)。選擇Display Filter，輸入過(guò)濾條件：tcp.flags，這時(shí)會(huì)看到一個(gè)flag列表用于選擇。選擇合適的flag，tcp.flags.syn并且加上==1。點(diǎn)擊Find，之后trace中的第一個(gè)SYN報(bào)文就會(huì)高亮出來(lái)了。

注意：Find Packet也可以用于搜索十六進(jìn)制字符，比如惡意軟件信號(hào)，或搜索字符串，比如抓包文件中的協(xié)議命令。

一個(gè)快速過(guò)濾TCP報(bào)文流的方式是在Packet List Panel中右鍵報(bào)文，并且選擇Follow TCP Stream。這就創(chuàng)建了一個(gè)只顯示TCP會(huì)話(huà)報(bào)文的自動(dòng)過(guò)濾條件。

這一步驟會(huì)彈出一個(gè)會(huì)話(huà)顯示窗口，默認(rèn)情況下包含TCP會(huì)話(huà)的ASCII代碼，客戶(hù)端報(bào)文用紅色表示服務(wù)器報(bào)文則為藍(lán)色。

窗口類(lèi)似下圖所示，對(duì)于讀取協(xié)議有效載荷非常有幫助，比如HTTP，SMTP，F(xiàn)TP。

更改為十六進(jìn)制Dump模式查看載荷的十六進(jìn)制代碼，如下圖所示：

關(guān)閉彈出窗口，Wireshark就只顯示所選TCP報(bào)文流?，F(xiàn)在可以輕松分辨出3次握手信號(hào)。