Wireshark是一款强大的网络协议分析器，其核心用途在于截取并解析网络环境里传输的数据包。凭借此功能，它助力用户深度洞察网络通信的各项细节，在诸如网络故障排查、性能状况监测、安全风险分析以及网络协议开发等众多领域中，均发挥着至关重要的作用。

wireshark怎么抓包？

直接只用wireshark客户端进行抓包

Linux下，使用tcpdump产生pcap文件，再通过wireshark导入分析

tcpdump -s0 host 192.168.162.103 and port 9999 -w my.pcap

1 观察三次握手、四次挥手

其中四次挥手只有3个tcp分组原因：四次挥手的时候，两个方向的断开是独立的，每个方向发送一个FIN，对方回复一个ACK，但同时，TCP规定ACK可以捎带在其他数据包当中，所以你看到的主动断开连接一方本应收到的ACK，是被对方的FIN包捎带过来的，就变成了三个包。并不是所有的情况下都是这样，典型的一种情况是，主动断开的一方发送FIN之后，被动一方仍然有数据要继续发送，就会先ACK这个FIN，然后继续发送数据（在此过程中主动断开一方仍然会继续ACK这些数据），直到数据发送完毕之后再发送FIN并接收对方的ACK。

2 观察tcp心跳检测机制（放开注释）

tcp心跳服务端参数说明

2.1 模拟客户端一段时间不传输数据

服务器net.ipv4.tcp_keepalive_intvl = 10，以上代码客户端sleep了22s，因此服务端进行了2次心跳检测

2.2 模拟MySQL Client突然掉线，抓取Server端

最后一次正常请求后10s，服务端开始发送心跳包

心跳包间隔3秒，发送3次

3次后，服务端关闭连接

wireshark是干嘛的？

这是一款应用极为普遍的网络数据包解析软件，它具备截取网络中传输数据包的能力，并可详尽展示其信息内容，助力用户透彻剖析网络流量的具体细节。

功能介绍：

1、数据包捕获：实时捕获通过网络接口传输的数据包，支持多种网络接口类型，涵盖以太网、Wi-Fi、蓝牙等。

2、协议解析：支持超过1000种协议的解析，涵盖TCP/IP、HTTP、DNS、SMTP等，解析后的数据包信息能够以分层结构显示。

3、实时分析：捕获数据包时，能够实时分析并展示流量统计信息，例如流量图、协议分布等。

4、过滤功能：提供强大的过滤功能，涵盖捕获过滤和显示过滤，用户可通过过滤器定义条件，仅捕获或显示符合条件的数据包。

5、详细数据包信息：每个捕获的数据包均可显示详细信息，涵盖协议层次、字段值、原始数据等。

6、图形化界面：提供友好的图形用户界面(GUI)，使得用户能够通过点击和选择的方式进行操作，无需命令行输入。

7、导入和导出：支持将捕获的数据包导出为多种格式（如PCAP、PCAPNG、CSV等），也支持从文件中导入数据以进行分析。

8、数据包重组：能够处理和重组分段的数据包，例如TCP流的重组，以便分析整个通信会话。

使用场景：

1、网络故障排除

当网络出现故障时，Wireshark可以帮助用户快速定位问题，例如丢包、延迟过高、连接中断等。

2、性能监控

通过分析网络流量，可以监控网络的性能，优化网络配置。

3、安全分析

检测网络中的安全威胁，如恶意软件、黑客攻击等。

4、协议开发

开发和测试新的网络协议，验证协议的正确性和性能。