探秘 Wireshark
0. 使用 tcpdump 抓包 - $ tcpdump -i eth0 -w tcpdump.pcap
1. 认识 Wireshark 的面板
如图
2. 确定一个(组)请求
使用 Wireshark 打开 pcap 文件后,可以看到整个抓包过程中的所有经过网卡的请求应答包都会依次按行展开。
我们随意选择一行数据点击一下,可以看到 NO. 这一列的前面多了一个长长的[。
其中22号Frame是这个请求的开始,22号,23号,24号是这次请求的三次握手。 33号Frame是这次请求的结束。
但是33号Frame为什么是[RST, ACK]呢? 这是个问题需要进一步去了解。
细心的同学应该可以看到 「图1」中 NO. 这一列的前面那个一个长长的[中有一部分是虚线。
是的虚线的部分和实线的部分是属于同一次请求的。
Wireshark 用` | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
