如何使用wireshark分析tcp

# 如何使用Wireshark分析TCP

## 目錄
1. [Wireshark簡介](#wireshark簡介)
2. [TCP協議基礎回顧](#tcp協議基礎回顧)
3. [Wireshark捕獲TCP數據包](#wireshark捕獲tcp數據包)
4. [TCP連接建立與終止分析](#tcp連接建立與終止分析)
5. [TCP數據傳輸分析](#tcp數據傳輸分析)
6. [TCP重傳與流量控制](#tcp重傳與流量控制)
7. [常見TCP問題排查](#常見tcp問題排查)
8. [高級過濾技巧](#高級過濾技巧)
9. [總結](#總結)

---

## Wireshark簡介
Wireshark是當前最流行的開源網絡協議分析工具，能夠實時捕獲和分析網絡數據包。它支持超過2000種協議的解碼，具有以下核心功能：
- 跨平臺支持（Windows/Linux/macOS）
- 圖形化界面和命令行版本（tshark）
- 強大的過濾和統計功能
- 支持協議深度解析
- 數據包重組和流跟蹤

最新版本下載地址：[Wireshark官網](https://www.wireshark.org/)

## TCP協議基礎回顧
在開始分析前，需要理解TCP協議的關鍵特性：

| 特性        | 說明                          |
|-------------|-----------------------------|
| 面向連接     | 通過三次握手建立可靠連接        |
| 可靠性       | 序列號、確認應答和重傳機制       |
| 流量控制     | 滑動窗口機制                   |
| 擁塞控制     | 慢啟動、擁塞避免等算法           |
| 全雙工通信   | 雙向數據流傳輸                 |

TCP頭部關鍵字段：
- 源/目的端口（各16位）
- 序列號（32位）
- 確認號（32位）
- 控制標志（ACK/SYN/FIN/RST等）
- 窗口大?。?6位）

## Wireshark捕獲TCP數據包
### 基本捕獲步驟
1. 選擇正確的網絡接口（有線/無線）
2. 開始捕獲（Ctrl+E）
3. 使用過濾器：`tcp`（僅顯示TCP流量）
4. 停止捕獲（Ctrl+E）

### 推薦捕獲設置
```wireshark
捕獲 -> 選項 -> 勾選"混雜模式"
捕獲 -> 捕獲過濾器輸入"tcp port 80"（僅捕獲HTTP流量）

界面布局說明

• 數據包列表窗格：顯示捕獲的原始數據包
• 數據包詳情窗格：分層顯示協議解碼信息
• 原始數據窗格：十六進制和ASCII格式顯示

TCP連接建立與終止分析

三次握手過程

典型握手數據包示例：

1. [SYN] Seq=0
2. [SYN, ACK] Seq=0, Ack=1
3. [ACK] Seq=1, Ack=1

Wireshark識別技巧： - 使用過濾：tcp.flags.syn==1 and tcp.flags.ack==0 - 右鍵數據包 -> “Follow -> TCP Stream”查看完整會話 - 統計 -> 流量圖可可視化連接過程

連接終止（四次揮手）

關鍵點分析： - FIN標志表示關閉請求 - 注意TIME_WT狀態的存在 - 異常終止（RST標志）的分析方法

TCP數據傳輸分析

序列號與確認機制

在Wireshark中觀察： 1. 序列號（Seq）的增長規律 2. 確認號（Ack）的預期值 3. 有效載荷長度計算：TCP Len = IP Total Length - IP Header - TCP Header

實際案例分析

No.  Time        Source    Destination  Protocol Length Info
1234 5.678901   192.168.1.1 → 10.0.0.2  TCP      66     443 → 54432 [ACK] Seq=1 Ack=101 Win=501 Len=0

解讀： - 這是一個純ACK包（Len=0） - 確認號101表示期望接收的下一個字節 - 窗口大小501字節

TCP重傳與流量控制

重傳檢測方法

1. 使用顯示過濾器：tcp.analysis.retransmission
2. 檢查重復的序列號
3. 觀察ACK響應延遲

常見重傳類型： - 快速重傳（重復ACK觸發） - 超時重傳（基于RTO計時器）

窗口管理分析

關鍵觀察點： - 窗口縮放選項（Window Scale） - 零窗口通告（Zero Window） - 窗口更新數據包

使用IO圖表分析： 統計 -> IO圖表 -> 添加"tcp.window_size"曲線

常見TCP問題排查

連接問題

1. 握手失?。哼^濾tcp.flags.reset==1
2. 半開連接：檢查未完成的SYN包

性能問題

1. 高延遲：計算tcp.time_delta
2. 吞吐量低：檢查窗口大小限制
3. 亂序數據包：tcp.analysis.out_of_order

典型錯誤模式

• 持續重傳
• 零窗口停滯
• 接收緩沖區滿
• 校驗和錯誤

高級過濾技巧

實用過濾器示例

tcp.port == 80 and ip.addr == 192.168.1.100  # 特定主機HTTP流量
tcp.stream eq 5                              # 特定TCP流
tcp.analysis.flags && !tcp.analysis.window_update  # 異常標志

自定義著色規則

示例：標記重傳數據包為紅色 視圖 -> 著色規則 -> 新建：tcp.analysis.retransmission

Lua腳本擴展

編寫自定義協議解析器：

local my_proto = Proto("my_tcp", "My TCP Extension")
-- 注冊字段和解析邏輯
register_postdissector(my_proto)

總結

通過Wireshark分析TCP流量時，建議采用系統化方法： 1. 先確認連接建立/終止是否正常 2. 檢查基礎傳輸機制（序列號、ACK） 3. 分析流量控制和擁塞控制特征 4. 使用統計工具輔助診斷

進階學習建議： - 研究RFC 793（TCP規范） - 分析不同操作系統實現的TCP行為差異 - 結合吞吐量測試工具（如iperf）進行對比分析

提示：實際分析時應始終結合具體應用場景，TCP行為可能因應用層協議（HTTP/FTP等）而異。 “`

這篇文章共計約1900字，采用Markdown格式編寫，包含： - 層級清晰的章節結構 - 表格和代碼塊等格式化元素 - 實用的技術細節和操作示例 - 從基礎到進階的分析方法 - 可視化元素建議（如IO圖表）

可根據需要調整各部分詳細程度或增加具體案例。