在使用ModBus Slave模拟从站的时候，发现Wireshark怎么都抓取不到包，原因是从站主站都在一台pc上，包不经过网卡，所有抓取不到。
 

 用管理员打开cmd，输入route add  本机ip mask 255.255.255.255  网关ip

TCP首部格式
　　 
 　　
 
　　源端口号、目的端口号：用于寻找发端和收端应用进程。这两个值加上IP首部中的源端IP地址和目的端IP地址唯一确定一个TCP连接，在网络编程中，一般一个IP地址和一个端口号组合称为一个套接字（socket）。 
 　　序号：用来标识从TCP发端向TCP收端发送的数据字节流，它表示在这个报文段中的的第一个数据字节。在tcp中tcp用序号对每个字节进行计数
 　　确认序号：包含发送确认的一端所期望收到的下一个序号。确认序号=序号+数据字节数+ 1
 　　首部长度：用于记录tcp数据报首部的长度，一般为20字节，实际值为首部长度除以4。 
 　　URG： 紧急指针（ urgent pointer）有效。 
 　　ACK： 确认序号有效。 
 　　PSH： 接收方应该尽快将这个报文段交给应用层。 
 　　RST： 重建连接。 
 　　SYN： 同步序号用来发起一个连接。 
 　　FIN： 发端完成发送任务。 
 　　窗口大小：用于流量控制。 
 　　检验和：检验和覆盖了整个的 TCP报文段： TCP首部和TCP数据，与udp相似需要计算伪首部。
 
Wireshark抓包分析TCP结构
 
　　利用wireshark抓取一个tcp数据包，查看其具体数据结构和实际的数据：
 
 

　　 
 Wireshark抓包分析TCP3次握手
 
下面通过利用http应用层连接一个网络，实现tcp的3次握手和简单的数据交换过程，下面通过抓包来实际观察这个过程。
 　　
 
　　从第一行的tcp往下看，前面3个tcp包为3次握手的过程，接着http包说明成功建立连接，主机向服务器发送一个http应用请求，服务器收到请求后，返回一个tcp确认帧，接着发送一个http应答给主机，主机收到服务器的http应答数据后，又发送一个tcp确认帧，确认收到了数据。这样图中的前7个包实现了主机和服务器建立连接，并实现一次简单的数据请求应答过程。即下图所示的交互按键回显过程：
 
 
接下来是按照顺序的７个数据帧的数据结构。数据帧顺序分别为： 
 　　1. 主机发起一个tcp连接请求（tcp）， 
 　　2. 服务器响应连接请求（tcp）， 
 　　3. 主机返回ACK完成3次握手成功建立连接（tcp）， 
 　　4. 主机发送一个http网页请求（http）， 
 　　5. 服务器收到请求返回一个ACK帧（tcp）， 
 　　6. 服务器根据请求发送数据到主机（http）， 
 　　7. 主机收到服务器数据返回一个ACK帧（tcp），具体帧细节见下图：
 
 
 
 
 
 
 
 
下面通过wireshark抓包了解具体的释放连接过程，通过断开一个连接，抓取到4个TCP帧，帧顺序依次为： 

　　1. 主动关闭放发送一个FIN帧给被动方 
 　　2. 被动方收到关闭信息返回一个确认ACK帧 
 　　3. 被动方发送一个FIN帧给主动方 
 　　4. 主动方收到被动方的FIN关闭信息返回一个ACK帧，连接释放
 
下面为按照顺序的帧数据结构详细信息：
 
 
 
 
 
TCP的最大报文段长度
　　最大报文段长度（MSS）表示TCP传往另一端的最大块数据的长度。当一个连接建立时，连接的双方都要通告各自的MSS。一般来说，MSS越大越好，因为报文段越大允许每个报文段传送的数据就越多，相对IP和TCP首部有更高的网络利用率。 
 　　MSS选项只能出现在SYN报文段中，所以只能在SYN=1的帧中才会有MSS选项说明报文的最大段长度。 

背景描述 ：最近在进行带有网口功能的FPGA编程，数据包的封装过程由FPGA完成，FPGA通过10G网线与一台服务器相连。在调试过程中，通过服务器上的Wireshark抓包来看包的内容是否正确。
 
问题描述： 可以确定数据包已被发送方发出，而接收方的Wireshark无法抓取到数据包
 
解决方法：
 1、如果所发包的目的地址不是接收方的IP，那么需要开启混杂模式。通过下图的流程开启混杂模式即可：
 
点击设置按钮：
 
勾选开启混杂模式：
 
 
2、确保数据包的正确
 首先需要知道的是，Wireshark可以接收到IP头和UDP头的校验和错误的数据包。但是并不是说数据包头随便写都能被Wireshark抓到。
 
网卡检查以太网帧并解开帧头、帧尾，再向上层递交数据包。如果以太网帧的前导码、长度、CRC校验出错都会导致网卡丢帧。
 
其中前导码即为7字节0x55和1字节d5构成；CRC校验采取CRC-32的校验方式；以太网帧长并没有显式的表示，但是在以太网帧的开头和结尾都各有一字节的0xfb，其间的长度即为以太网帧长。
 
我没有收到包的原因即是数据帧长错误，在IP头中有一个字段用于表示整个包的长度（IP头及IP数据），而以太网帧头为固定14字节，所以说数据帧长需要与IP头数据长度和UDP头数据长度对应。
 
总的来说，当包的结构正确时，网卡或者Wireshark可以正确解析出每一个字段的意义，所以当可以确定发送方已发出包，而接收方没有收到时，需要确认一下数据包每个字段的内容是否正确。

Wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，且Wireshark不能像Fiddler拦截请求，修改返回结果。
 但Wireshark抓包是抓取网卡的数据包，如TCP等
 
一、安装
 Wireshark官网下载地址：https://www.wireshark.org
 下载完成后直接安装
 
二、使用
 只有当手机或其他客户端处于同一网络下，才能抓到包（电脑开启热点，手机连接此热点），这一点和Fiddler有所不同，Fiddler只要在同一局域网下即可。
 
打开Wireshark后，可以看到本机的网卡驱动，要想捕获数据包，选择你要捕获的网卡，双击开始捕获数据。从图中可以看到流量的使用情况
 
 数据着色规则
 https://www.cnblogs.com/still-smile/p/13589644.html
 
上方可以输入过滤信息tcp.port == 80、ip.dst==14.215.177.38等等
 
 
可在列表表头处右击，编辑列，选择需要展示的信息。
 
 选择抓到某一条TCP数据包，右击选择追踪流-TCP流，展示红色是源到目的地；蓝色反之；