编译运行DaytimeClient，访问"time.nist.gov" 获取时间信息。

package tcpClient.daytime;
import java.io.IOException;import java.io.InputStream;import java.io.InputStreamReader;import java.net.Socket;import java.nio.charset.StandardCharsets;/** * 使用客户端获取时间，协议指定的字节必须是ASCII */public class DaytimeClient {    public static void main(String[] args) {        String hostname = args.length > 0 ? args[0] : "time.nist.gov";        Socket socket = null;        try {            socket = new Socket(hostname, 13);            socket.setSoTimeout(15000);            InputStream in = socket.getInputStream();            StringBuilder time = new StringBuilder();            InputStreamReader reader = new InputStreamReader(in, StandardCharsets.US_ASCII);            for (int c = reader.read();c != -1;c = reader.read()){                time.append((char) c);            }            System.out.println("time = " + time);        } catch (IOException e) {            e.printStackTrace();        } finally {            if (socket != null) {                try {                    socket.close();                } catch (IOException e) {                    e.printStackTrace();                }            }        }    }}

    使用wireshark监听daytime客户端连接服务器的数据报，过滤规则：tcp.port eq 13握手过程：数据包编号No.16-No.20。



握手一：数据包No.16，本地IP10.1.1.64端口52528向远程IP132.163.86.4端口13发起连接请求SYN。

Transmission Control Protocol, Src Port: 52528, Dst Port: 13, Seq: 0, Len: 0
  Source Port: 52528//源端口
  Destination Port: 13//目的端口
  [Stream index: 2]//流索引
  [TCP Segment Len: 0]//此片TCP数据段长度
  Sequence number: 0   (relative sequence number)//序列号(相对序列号)
  [Next sequence number: 0   (relative sequence number)]
  Acknowledgment number: 0//确认序列号
  1010 .... = Header Length: 40 bytes (10)//首部长度
  Flags: 0x002 (SYN)//标志位
      000. .... .... = Reserved: Not set
      ...0 .... .... = Nonce: Not set
      .... 0... .... = Congestion Window Reduced (CWR): Not set
      .... .0.. .... = ECN-Echo: Not set
      .... ..0. .... = Urgent: Not set
      .... ...0 .... = Acknowledgment: Not set
      .... .... 0... = Push: Not set
      .... .... .0.. = Reset: Not set
      .... .... ..1. = Syn: Set//标志当前报文用于同步序号来发起一个连接
          [Expert Info (Chat/Sequence): Connection establish request (SYN): server port 13]//详细信息：连接建立请求
              [Connection establish request (SYN): server port 13]
              [Severity level: Chat]
              [Group: Sequence]
      .... .... ...0 = Fin: Not set
      [TCP Flags: ··········S·]
  Window size value: 29200//窗口大小
  [Calculated window size: 29200]
  Checksum: 0xf016 [unverified]//校验和
  [Checksum Status: Unverified]
  Urgent pointer: 0//紧急指针
  Options: (20 bytes), Maximum segment size, SACK permitted, Timestamps, No-Operation (NOP), Window scale//可选项
      TCP Option - Maximum segment size: 1460 bytes//MSS 1460字节
      TCP Option - SACK permitted
      TCP Option - Timestamps: TSval 2795695397, TSecr 0
      TCP Option - No-Operation (NOP)
      TCP Option - Window scale: 7 (multiply by 128)
  [Timestamps]//时间戳
      [Time since first frame in this TCP stream: 0.000000000 seconds]
      [Time since previous frame in this TCP stream: 0.000000000 seconds]

客户端发送SYN=1，seq=0给远程服务器，发送成功后进入SYN_Sent状态。

握手二：数据包No.19，远程服务器回复本地主机的SYN报文。

Transmission Control Protocol, Src Port: 13, Dst Port: 52528, Seq: 0, Ack: 1, Len: 0
  Source Port: 13
  Destination Port: 52528
  [Stream index: 2]
  [TCP Segment Len: 0]
  Sequence number: 0   (relative sequence number)
  [Next sequence number: 0   (relative sequence number)]
  Acknowledgment number: 1   (relative ack number)//确认序列号从0变为1
  1010 .... = Header Length: 40 bytes (10)
  Flags: 0x012 (SYN, ACK)//标志位
      000. .... .... = Reserved: Not set
      ...0 .... .... = Nonce: Not set
      .... 0... .... = Congestion Window Reduced (CWR): Not set
      .... .0.. .... = ECN-Echo: Not set
      .... ..0. .... = Urgent: Not set
      .... ...1 .... = Acknowledgment: Set//ACK置1
      .... .... 0... = Push: Not set
      .... .... .0.. = Reset: Not set
      .... .... ..1. = Syn: Set//SYN置1
          [Expert Info (Chat/Sequence): Connection establish acknowledge (SYN+ACK): server port 13]//连接建立确认
              [Connection establish acknowledge (SYN+ACK): server port 13]
              [Severity level: Chat]
              [Group: Sequence]
      .... .... ...0 = Fin: Not set
      [TCP Flags: ·······A··S·]
  Window size value: 65535//窗口大小
  [Calculated window size: 65535]
  Checksum: 0x0616 [unverified]//校验和
  [Checksum Status: Unverified]
  Urgent pointer: 0
  Options: (20 bytes), Maximum segment size, No-Operation (NOP), Window scale, SACK permitted, Timestamps可选项
      TCP Option - Maximum segment size: 1412 bytes//MSS 1412字节
      TCP Option - No-Operation (NOP)
      TCP Option - Window scale: 6 (multiply by 64)
      TCP Option - SACK permitted
      TCP Option - Timestamps: TSval 2251642254, TSecr 2795695397
  [SEQ/ACK analysis]
      [This is an ACK to the segment in frame: 16]
      [The RTT to ACK the segment was: 0.270227949 seconds]//本次RTT值
      [iRTT: 0.270281602 seconds]//总RTT值
  [Timestamps]//时间戳，发送上一个报文到收到这个报文经过了0.27s
      [Time since first frame in this TCP stream: 0.270227949 seconds]
      [Time since previous frame in this TCP stream: 0.270227949 seconds]

服务器收到客户端发的SYN后，响应了一个seq=0，ack=1，SYN=1，ACK=1的响应报文。发送成功后进入SYN_RCVD状态。

握手三：数据包No.20，本地客户端发送ACK以建立连接

Transmission Control Protocol, Src Port: 52528, Dst Port: 13, Seq: 1, Ack: 1, Len: 0
  Source Port: 52528
  Destination Port: 13
  [Stream index: 2]
  [TCP Segment Len: 0]
  Sequence number: 1   (relative sequence number)
  [Next sequence number: 1   (relative sequence number)]
  Acknowledgment number: 1   (relative ack number)//确认序列号从0变为1
  1000 .... = Header Length: 32 bytes (8)//首部长度32字节
  Flags: 0x010 (ACK)
      000. .... .... = Reserved: Not set
      ...0 .... .... = Nonce: Not set
      .... 0... .... = Congestion Window Reduced (CWR): Not set
      .... .0.. .... = ECN-Echo: Not set
      .... ..0. .... = Urgent: Not set
      .... ...1 .... = Acknowledgment: Set//ACK置1
      .... .... 0... = Push: Not set
      .... .... .0.. = Reset: Not set
      .... .... ..0. = Syn: Not set
      .... .... ...0 = Fin: Not set
      [TCP Flags: ·······A····]
  Window size value: 229//窗口大小
  [Calculated window size: 29312]
  [Window size scaling factor: 128]
  Checksum: 0xf00e [unverified]
  [Checksum Status: Unverified]
  Urgent pointer: 0
  Options: (12 bytes), No-Operation (NOP), No-Operation (NOP), Timestamps
      TCP Option - No-Operation (NOP)
      TCP Option - No-Operation (NOP)
      TCP Option - Timestamps: TSval 2795695667, TSecr 2251642254
  [SEQ/ACK analysis]
      [This is an ACK to the segment in frame: 19]
      [The RTT to ACK the segment was: 0.000053653 seconds]
      [iRTT: 0.270281602 seconds]
  [Timestamps]
      [Time since first frame in this TCP stream: 0.270281602 seconds]
      [Time since previous frame in this TCP stream: 0.000053653 seconds]

客户端发送seq=1，ack=1，ACK=1的确认报文，进入ESTABLISHED状态。在服务器收到此报文后也进入ESTABLISHED。至此连接已经建立完成。

注：本文为小yip原创，未经许可不得在任何平台转载。如需转载，与作者联系~

欢迎加入linux交流群：734638086，分享工作经验。

关注微信公众号：技术训练营（微信ID：TechBootcamp），获取更多资讯～



微信扫一扫，发现更精彩。

先说问题。使用Wireshark工具、Microsoft Edge浏览器，抓取TCP数据包，网络封包分析窗口如下所示：



很意外地，发现有52.114.77.164与168.63.202.111这两个IP地址的报文。
我们的源主机IP地址为192.168.0.101，目的服务器IP地址为128.119.245.12，我们要分析的三次握手过程、数据包传输过程应该在这两个IP之间，很明显52.114.77.164与168.63.202.111这两个IP地址干扰了我们的分析。

我们知道，IP地址可以作为域名使用（域名本身就对应着IP地址），所以我们首先尝试能否登录这两个IP地址对应的网址。
并不能。我们换种思路，查证一下这两个IP地址的归属。





破案了，这两个IP地址均归属于微软。这说明我的电脑正在向微软传递数据，推测原因出自Windows 10系统默认开启的客户体验改善计划传输了TCP报文。另一个可能的原因是，Microsoft Edge浏览器也向微软发送了用户的使用数据。根据自己的了解，Windows 客户体验改善计划将收集硬件配置以及用户使用软件和服务的相关信息并上传。
首先关闭客户体验改善计划。我们在运行中输入gpedit.msc，打开本地组策略编辑器。



按照下图，找到关闭 Windows 客户体验改善计划。



观察到当前处于未配置状态。



将其改为“已启用”，之后点击确定。现在，我们已经关闭了Windows客户体验改善计划。捕获报文，发现已经不存在52.114.77.164。
接下来，在Microsoft Edge浏览器的设置中，找到了可能收集数据的选项，如下图。



观察到，Microsoft Edge浏览器会自动向微软发送数据，且该功能是无法关闭的。因此，切换到IE浏览器。IE大法好。
最后，再次启动Wireshark捕获报文。结果如下，问题解决。



做个总结：

52.114.77.164：Windows 10用户体验改善计划

168.63.202.111：Microsoft Edge收集用户数据并发送
这两个IP地址具体是什么可能因机器而异，以上提供了一个排查的思路。如果这篇文章对你有帮助，请给博主点个赞吧！

Wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，且Wireshark不能像Fiddler拦截请求，修改返回结果。

但Wireshark抓包是抓取网卡的数据包，如TCP等
一、安装

Wireshark官网下载地址：https://www.wireshark.org

下载完成后直接安装
二、使用

只有当手机或其他客户端处于同一网络下，才能抓到包（电脑开启热点，手机连接此热点），这一点和Fiddler有所不同，Fiddler只要在同一局域网下即可。
打开Wireshark后，可以看到本机的网卡驱动，要想捕获数据包，选择你要捕获的网卡，双击开始捕获数据。从图中可以看到流量的使用情况



数据着色规则

https://www.cnblogs.com/still-smile/p/13589644.html
上方可以输入过滤信息tcp.port == 80、ip.dst==14.215.177.38等等


可在列表表头处右击，编辑列，选择需要展示的信息。



选择抓到某一条TCP数据包，右击选择追踪流-TCP流，展示红色是源到目的地；蓝色反之；

1、

Frame：物理层数据帧

Ethernet II：数据链路层以太网帧头部信息

Internet protocol version4：网络层IP包头部信息

Transmission control protocol：传输层的数据段头部信息
首先需要了解数据包的结构

以下依次是

1、网络层头部信息



2、ipv4头部结构



3、tcp头部结构