【网络安全】Wireshark零基础到进阶学习路线（第三期：核心协议解析，读懂HTTP、TCP、DNS数据包）

【网络安全】Wireshark零基础到进阶学习路线（第三期：核心协议解析，读懂HTTP、TCP、DNS数据包）

前言：在前两期内容中，我们已经完成了Wireshark的安装配置、首次抓包，还掌握了显示过滤器的核心用法，能够从海量数据包中精准筛选出目标流量。但仅仅“找到”数据包还不够，网络安全学习的核心的是“读懂”数据包——知道每个数据包的含义、字段代表的意义，以及背后的通信逻辑。

本期作为零基础进阶的关键一期，核心目标：掌握HTTP、TCP、DNS这3种最常用、最核心的网络协议，通过Wireshark抓包实战，拆解协议的通信流程和核心字段，摆脱“只懂筛选、不懂解读”的困境，真正理解网络通信的底层逻辑，为后续安全分析、故障排查打下坚实基础。

一、为什么要重点学习这3种协议？（零基础必懂）

网络协议是网络通信的“语言”，而HTTP、TCP、DNS这3种协议，是我们日常上网、网络安全分析中最常用、最核心的协议，覆盖了“访问网页、数据传输、域名解析”等所有基础场景，缺一不可。

对于网络安全新手来说，掌握这3种协议的意义在于：

1. 读懂日常流量：我们打开浏览器访问网页、刷视频、聊微信，本质上都是这几种协议在背后协同工作，学会解读它们，就能明白“数据是如何从自己电脑传到服务器，再传回来的”；

2. 排查基础故障：比如访问网站打不开、网页加载卡顿、DNS解析失败，通过解读这3种协议的数据包，就能快速找到故障根源（是TCP连接失败，还是HTTP响应异常，或是DNS解析出错）；

3. 入门安全分析：很多网络攻击（如SQL注入、TCP SYN Flood、DNS劫持）都会留下协议层面的痕迹，读懂数据包，才能发现这些异常痕迹，为后续渗透测试、应急响应打基础；

4. 夯实网络基础：这3种协议是所有网络知识的基石，学会它们，再学习其他复杂协议（如HTTPS、FTP）会事半功倍。

本期我们将按照“DNS → TCP → HTTP”的顺序讲解（贴合日常上网流程：先解析域名→建立连接→传输网页数据），每个协议都遵循“核心作用→抓包实战→字段拆解”的逻辑，新手容易理解、容易上手。

二、前期准备：明确学习目标与环境要求

2.1 本期学习目标（必达成）

1. 理解DNS、TCP、HTTP三种协议的核心作用，知道它们在网络通信中的分工；

2. 能通过Wireshark实时抓包，捕获三种协议的数据包，并用过滤器精准筛选；

3. 掌握每种协议的核心字段、通信流程，能独立解读数据包的含义；

4. 完成3个协议实战练习，能通过数据包判断通信是否正常，排查基础异常。

2.2 环境要求（延续前两期，无需额外准备）

1. 已安装Wireshark（确保能正常启动、抓包，若未安装，参考第一期内容）；

2. 电脑已连接网络（WiFi或以太网均可，用于抓包测试）；

3. 提前掌握前两期知识点：会启动抓包、会使用基础显示过滤器（如http、tcp、dns）；

4. 准备工具：浏览器（用于触发HTTP、DNS流量）、终端（Windows cmd/ macOS/Linux终端，用于测试DNS解析）；

5. 无需提前背诵协议理论，跟着实战步骤，边操作边理解即可。

三、核心协议一：DNS协议（域名解析，上网的“翻译官”）

我们日常上网时，输入的是“www.baidu.com”这样的域名，但电脑无法直接识别域名，只能识别IP地址（如202.108.22.5）。而DNS协议的核心作用，就是“翻译”——将域名翻译成电脑能识别的IP地址，相当于互联网的“电话本”，是我们上网的第一步。

3.1 DNS协议核心基础（必懂）

1. 核心作用：域名与IP地址的相互转换（主要是正向解析：域名→IP）；

2. 通信模式：采用“查询-响应”模式，客户端发送查询请求（询问域名对应的IP），DNS服务器返回响应结果（返回IP地址）；

3. 默认端口：使用UDP协议的53端口（传输高效、延迟低，适合短报文传输），当响应数据超过512字节时，会自动切换为TCP 53端口传输；

4. 常见场景：打开浏览器访问任意网站、APP启动加载，都会先触发DNS解析，再建立连接。

3.2 抓包实战：捕获并筛选DNS数据包

目标：捕获“浏览器访问百度”时的DNS解析流量，筛选并查看DNS查询与响应数据包。

步骤：

1. 清理DNS缓存（避免缓存影响抓包效果）：

• Windows用户：打开cmd，输入命令 ipconfig /flushdns，回车执行；

• macOS用户：打开终端，输入命令 sudo dscacheutil -flushcache，输入密码后执行；

• Linux用户：打开终端，输入命令 sudo systemd-resolve --flush-caches，输入密码后执行。

2. 启动Wireshark抓包：选择当前使用的网络接口（WiFi/以太网），点击蓝色鲨鱼鳍按钮启动抓包；

3. 设置过滤器：在顶部过滤框输入 dns（或 udp.port == 53），按回车，只显示DNS协议的数据包；

4. 触发DNS解析：打开浏览器，在地址栏输入“www.baidu.com”，按下回车（无需等待页面加载完成，解析瞬间完成）；

5. 停止抓包：点击红色方块按钮停止抓包，此时数据包列表中会显示2条核心DNS数据包（1条查询、1条响应）。

3.3 数据包拆解：读懂DNS查询与响应

DNS数据包主要分为“查询包”和“响应包”，我们分别拆解核心字段（重点看数据包详情区，按协议层次展开），新手无需记住所有字段，重点掌握3个核心部分即可。

3.3.1 DNS查询包（客户端→DNS服务器）

双击数据包列表中的“DNS”协议数据包（源IP是自己电脑IP，目的IP是DNS服务器IP），在详情区展开“Domain Name System (query)”，核心字段解读：

1. Transaction ID（事务ID）：随机生成的标识符，用于匹配查询包和响应包（查询包和对应响应包的事务ID完全一致）；

2. Flags（标志位）：核心标记为“Query”（表示这是查询请求），同时包含“Recursion Desired（RD）”（递归请求，请求DNS服务器逐级查询）；

3. Queries（查询部分）：最核心的部分，包含2个关键信息：

• Name：要查询的域名（如www.baidu.com），编码为独特的标签序列，每个标签前有长度字节，以空字节结束；

• Type：查询类型，最常用“A”（表示查询IPv4地址），此外还有“AAAA”（IPv6地址）、“CNAME”（域名别名）等；

• Class：通常为“IN”（互联网类别），表示查询的是互联网中的域名。

3.3.2 DNS响应包（DNS服务器→客户端）

双击对应的响应包（源IP是DNS服务器IP，目的IP是自己电脑IP），在详情区展开“Domain Name System (response)”，核心字段解读：

1. Transaction ID：与对应查询包的事务ID完全一致，确保查询与响应对应；

2. Flags：核心标记为“Response”（表示这是响应包），同时包含“Recursion Available（RA）”（递归可用，说明DNS服务器支持递归查询）；

3. Answers（回答部分）：最核心的部分，包含域名对应的IP地址，重点看2个信息：

• Name：查询的域名（与查询包一致）；

• Type：与查询包一致（如“A”）；

• Address：域名对应的IP地址（如百度的IP：202.108.22.5），这就是DNS解析的最终结果；

4. TTL（生存时间）：表示该IP地址在本地缓存中的存活秒数（如86400秒=24小时），缓存过期后会重新发起DNS查询。

3.4 新手常见问题与技巧

1. 抓不到DNS数据包？

解决：先清理DNS缓存（避免使用本地缓存，不触发新的解析请求）；确保过滤器输入正确（dns或udp.port == 53）；关闭浏览器所有标签页，重新打开并访问域名。

2. 响应包中没有IP地址？

解决：可能是DNS解析失败，检查网络连接是否正常；也可能是查询类型为CNAME（域名别名），需查看后续的响应包，找到最终的A记录（IPv4地址）。

3. 快速筛选DNS查询/响应包？

技巧：使用过滤器 dns.flags.response == 0 筛选查询包，dns.flags.response == 1 筛选响应包。

四、核心协议二：TCP协议（可靠传输，数据的“运输车”）

当DNS解析出服务器IP后，电脑需要与服务器建立连接，才能传输数据（如网页内容、图片、文字）。而TCP协议的核心作用，就是“可靠传输”——确保数据从客户端准确、完整地传到服务器，不丢失、不错乱，相当于数据的“运输车”，是所有可靠网络通信的基础（HTTP、HTTPS等协议都基于TCP协议）。

4.1 TCP协议核心基础（必懂）

1. 核心作用：在客户端和服务器之间建立可靠的连接，实现数据的有序、完整传输；

2. 核心特点：面向连接（通信前必须建立连接，通信后关闭连接）、可靠传输（数据丢失会重传，确保接收完整）、面向字节流（按顺序传输数据）；

3. 核心流程：通信分为三个阶段——建立连接（三次握手）→ 传输数据 → 关闭连接（四次挥手）；

4. 常用端口：HTTP默认80端口、HTTPS默认443端口、SSH默认22端口，均基于TCP协议。

4.2 抓包实战：捕获TCP三次握手与数据传输

目标：捕获“浏览器访问百度”时的TCP连接（三次握手）和数据传输流量，理解TCP的核心流程。

步骤：

1. 启动Wireshark抓包：选择当前使用的网络接口（WiFi/以太网），点击蓝色鲨鱼鳍按钮启动抓包；

2. 设置过滤器：在顶部过滤框输入 tcp and ip.addr == 202.108.22.5（筛选与百度IP的TCP流量），按回车；

3. 触发TCP连接：打开浏览器，访问“http://www.baidu.com”，等待页面加载完成；

4. 停止抓包：点击红色方块按钮停止抓包，此时数据包列表中会显示TCP三次握手、数据传输、四次挥手的完整流程（重点关注前3个数据包：三次握手）。

4.3 数据包拆解：读懂TCP三次握手与核心字段

TCP的核心是“三次握手”（建立连接）和“四次挥手”（关闭连接），新手重点掌握三次握手和核心字段，四次挥手暂不深入（进阶阶段再讲解）。

4.3.1 TCP三次握手（建立连接，必掌握）

三次握手是TCP建立连接的过程，相当于“客户端和服务器的对话”，确保双方都能正常发送和接收数据，对应数据包列表中前3个连续的TCP数据包，标志位和流程如下：

1. 第一次握手（SYN包）：客户端 → 服务器

• 标志位：SYN=1（表示请求建立连接）；

• 核心字段：Sequence Number（序列号，简称Seq），随机生成一个初始值（如0），用于标记后续传输的数据顺序；

• 通俗理解：客户端对服务器说“我想和你建立连接，你能收到吗？”。

2. 第二次握手（SYN+ACK包）：服务器 → 客户端

• 标志位：SYN=1，ACK=1（表示确认收到客户端的连接请求，同时请求建立连接）；

• 核心字段：

  • Sequence Number（Seq）：服务器随机生成的初始值；

  • Acknowledgment Number（确认号，简称Ack）：Seq（客户端）+ 1（表示“我已经收到了你发送的第一个包”）；

• 通俗理解：服务器对客户端说“我收到你的请求了，我也想和你建立连接，你能收到吗？”。

3. 第三次握手（ACK包）：客户端 → 服务器

• 标志位：ACK=1（表示确认收到服务器的连接请求，连接正式建立）；

• 核心字段：

  • Sequence Number（Seq）：客户端初始Seq + 1（与第一次握手的Ack对应）；

• Acknowledgment Number（Ack）：Seq（服务器）+ 1（表示“我已经收到了你发送的第二个包”）；

  • 通俗理解：客户端对服务器说“我收到你的确认了，连接建立好了，我们开始传输数据吧！”。

验证要点：三次握手的顺序必须是“SYN → SYN+ACK → ACK”，每个ACK包的确认号 = 前一个包的序列号 + 1，这是判断三次握手正常的核心依据。

4.3.2 TCP核心字段（读懂数据传输）

三次握手完成后，就进入数据传输阶段，双击任意一个数据传输的TCP数据包，展开“Transmission Control Protocol”，核心字段解读：

1. Source Port（源端口）：客户端的随机端口（如54321），用于标识客户端的进程；

2. Destination Port（目的端口）：服务器的端口（如80端口，对应HTTP服务）；

3. Sequence Number（Seq）：当前数据包中数据的起始序列号，用于确保数据按顺序传输；

4. Acknowledgment Number（Ack）：期望收到的下一个数据包的序列号，用于确认数据已收到；

5. Flags（标志位）：除了SYN、ACK，还有：

• FIN：表示请求关闭连接（四次挥手时使用）；

• RST：表示异常终止连接（如连接出错时）；

• PSH：表示推送数据，让接收方立即处理数据；

6. Length（长度）：当前TCP数据包中数据的大小。

4.4 新手常见问题与技巧

1. 找不到三次握手的数据包？

解决：确保过滤器输入正确（tcp + 服务器IP）；关闭浏览器所有标签页，重新访问网站（避免复用已有的TCP连接）；抓包时快速访问网站，避免其他TCP流量干扰。

2. 如何快速筛选三次握手的数据包？

技巧：使用过滤器 tcp.flags.syn == 1 and tcp.flags.ack == 0 筛选第一次握手（SYN包）；tcp.flags.syn == 1 and tcp.flags.ack == 1 筛选第二次握手（SYN+ACK包）；tcp.flags.ack == 1 and tcp.flags.syn == 0 筛选第三次握手（ACK包）。

3. 三次握手异常怎么办？

解决：若只有SYN包，没有SYN+ACK包，说明服务器未响应（可能是服务器不可达、端口关闭）；若三次握手不完整，可能是网络卡顿或防火墙拦截。

五、核心协议三：HTTP协议（网页传输，数据的“内容载体”）

TCP建立连接后，客户端和服务器之间就可以传输实际数据了，而HTTP协议的核心作用，就是“传输网页相关数据”（如HTML代码、图片、文字），是我们访问网页的直接“内容载体”，基于TCP协议工作，属于应用层协议。

简单来说：TCP负责“建立连接、可靠传输”，HTTP负责“传输什么内容”，二者协同工作，才能让我们看到完整的网页。

5.1 HTTP协议核心基础（必懂）

1. 核心作用：在客户端（浏览器）和服务器之间，传输网页相关的数据（请求和响应）；

2. 通信模式：采用“请求-响应”模式，客户端发送HTTP请求（请求网页内容），服务器返回HTTP响应（返回网页数据）；

3. 核心组成：每个HTTP交互都包含“请求包”和“响应包”，二者一一对应；

4. 常用请求方法：GET（获取网页资源，如访问百度首页）、POST（提交数据，如登录、注册）；

5. 常用响应状态码：200 OK（请求成功）、404 Not Found（资源未找到）、500 Internal Server Error（服务器内部错误）。

5.2 抓包实战：捕获HTTP请求与响应数据包

目标：捕获“浏览器访问百度”时的HTTP请求和响应数据包，拆解其结构，读懂网页传输的内容。

步骤：

1. 启动Wireshark抓包：选择当前使用的网络接口（WiFi/以太网），点击蓝色鲨鱼鳍按钮启动抓包；

2. 设置过滤器：在顶部过滤框输入 http（只显示HTTP协议的数据包），按回车；

3. 触发HTTP请求：打开浏览器，访问“http://www.baidu.com”，等待页面加载完成；

4. 停止抓包：点击红色方块按钮停止抓包，此时数据包列表中会显示多条HTTP数据包（1条GET请求包，多条响应包）。

5.3 数据包拆解：读懂HTTP请求与响应

HTTP数据包分为“请求包”和“响应包”，结构清晰，新手重点掌握核心结构和关键字段，就能读懂网页传输的内容。

5.3.1 HTTP请求包（客户端→服务器）

双击数据包列表中“Info”列显示“GET / HTTP/1.1”的数据包（这是HTTP GET请求包），在详情区展开“Hypertext Transfer Protocol”，核心结构（从 top 到下）：

1. 请求行（Request Line）：最核心的部分，包含3个关键信息：

• 请求方法：GET（获取资源），这是最常用的请求方法，用于访问网页、图片等静态资源；

• 请求URI：请求的资源路径（如“/”表示百度首页的根资源）；

• 协议版本：HTTP/1.1（目前最常用的版本，还有HTTP/2、HTTP/3）；

示例：GET / HTTP/1.1（请求百度首页的根资源，使用HTTP/1.1协议）。

2. 请求头（Request Headers）：包含客户端的相关信息，用于告诉服务器“客户端的情况”，常用字段：

• Host：请求的服务器域名（如www.baidu.com），告诉服务器“我要访问哪个网站”；

• User-Agent：客户端的标识（如浏览器型号、系统版本），告诉服务器“我是什么设备/浏览器”；

• Accept：客户端可接受的数据类型（如text/html，，表示可接受网页内容）；

• Cookie：客户端的会话信息，用于保持登录状态（如登录百度后，Cookie会记录登录信息）。

3. 空行：请求头和请求体之间的空行，用于分隔两者（必须存在，否则服务器无法识别）；

4. 请求体（Request Body）：GET请求的请求体通常为空（因为GET请求的参数会拼接在URL中）；POST请求的请求体包含提交的数据（如登录时的用户名、密码）。

5.3.2 HTTP响应包（服务器→客户端）

双击请求包对应的响应包（源IP是百度服务器IP，目的IP是自己电脑IP，“Info”列显示“HTTP/1.1 200 OK”），在详情区展开“Hypertext Transfer Protocol”，核心结构：

1. 状态行（Status Line）：最核心的部分，包含3个关键信息：

• 协议版本：HTTP/1.1；

• 响应状态码：200（表示请求成功），这是最常见的状态码，其他常用状态码：

• 404 Not Found：请求的资源不存在（如访问错误的URL）；

  • 500 Internal Server Error：服务器内部错误（服务器自身出现问题）；

  • 302 Found：重定向（将请求跳转到其他URL）；

  • 状态描述：OK（与状态码对应，200对应OK，404对应Not Found）。

2. 响应头（Response Headers）：包含服务器的相关信息，告诉客户端“服务器的情况”和“返回数据的信息”，常用字段：

• Content-Type：返回数据的类型（如text/html; charset=utf-8，表示返回的是UTF-8编码的网页内容）；

• Content-Length：返回数据的大小（单位：字节）；

• Server：服务器的软件版本（如BWS/1.1，百度的服务器标识）；

• Set-Cookie：服务器向客户端设置Cookie，用于保持会话状态。

3. 空行：响应头和响应体之间的空行，用于分隔两者；

4. 响应体（Response Body）：最核心的部分，包含服务器返回的实际数据（如百度首页的HTML代码、图片数据），在Wireshark中可通过“Follow → HTTP Stream”查看完整的响应内容。

5.4 新手常见问题与技巧

1. 抓不到HTTP数据包，只抓到HTTPS数据包？

解决：访问网页时，确保URL开头是“http://”，而非“https://”（HTTPS是加密的HTTP协议，后续会专门讲解）；部分网站会自动跳转到HTTPS，可尝试访问其他HTTP网站（如http://example.com）。

2. 如何查看完整的HTTP请求/响应内容？

技巧：右键任意一条HTTP数据包，选择“Follow → HTTP Stream”，会弹出一个窗口，显示完整的请求和响应内容（包括请求头、响应头、响应体），方便查看。

3. 响应状态码为404或500，是什么意思？

解决：404表示请求的URL错误（资源不存在），检查URL是否拼写正确；500表示服务器内部错误，与客户端无关，可尝试刷新页面或换个时间访问。

六、综合实战：串联三种协议，看懂完整上网流程

学到这里，我们已经掌握了DNS、TCP、HTTP三种协议的核心内容，现在通过一个综合实战，串联这三种协议，看看我们打开浏览器访问百度的完整流程，真正理解“上网背后的逻辑”。

实战目标：捕获“访问百度”的完整流量，串联DNS解析→TCP三次握手→HTTP请求响应的全过程。

步骤：

1. 清理DNS缓存（参考DNS协议实战步骤）；

2. 启动Wireshark抓包，不设置过滤器（捕获所有流量）；

3. 打开浏览器，访问“http://www.baidu.com”，等待页面加载完成后关闭浏览器；

4. 停止抓包，按时间顺序分析数据包，串联流程：

① DNS解析：客户端发送DNS查询包，查询www.baidu.com对应的IP地址，DNS服务器返回响应包（返回IP：202.108.22.5）；

② TCP三次握手：客户端与百度服务器（202.108.22.5:80）建立TCP连接（SYN→SYN+ACK→ACK）；

③ HTTP请求响应：客户端发送HTTP GET请求包（请求百度首页），服务器返回HTTP响应包（200 OK，返回网页内容）；

④ TCP四次挥手：关闭浏览器后，客户端与服务器关闭TCP连接（后续进阶讲解）。

验证：使用过滤器分别筛选dns、tcp、http协议，对应查看每个阶段的数据包，确认流程完整、字段正常。

七、本期总结与下期预告

7.1 本期核心知识点回顾（必掌握）

1. 掌握了DNS协议：知道其核心作用是“域名→IP解析”，能捕获并解读DNS查询与响应包，看懂事务ID、查询类型、IP地址等核心字段；

2. 掌握了TCP协议：理解其“可靠传输”的特点，能识别TCP三次握手的流程和核心标志位（SYN、ACK），读懂序列号、确认号等关键字段；

3. 掌握了HTTP协议：能捕获并解读HTTP请求与响应包，看懂请求行、响应状态码、请求头、响应体等核心结构，知道GET请求的特点；

4. 完成了综合实战，串联三种协议，理解了“访问网页”的完整流程（DNS解析→TCP连接→HTTP传输）。

本期重点：无需深入协议的底层细节，重点是“能通过Wireshark抓包，读懂每种协议的核心字段和通信流程”，建立对网络通信的直观认知，摆脱理论抽象的困扰。

7.2 下期预告（进阶实战）

下期（第四期）我们将进入Wireshark进阶实战环节：网络故障排查与简单安全分析。学会解读数据包后，我们要学会用Wireshark解决实际问题——比如排查“网页打不开”“网络卡顿”“DNS解析失败”等常见故障，同时入门简单的安全分析，识别异常数据包（如TCP连接异常、HTTP异常请求），让Wireshark真正发挥工具的价值，从“看懂数据包”升级为“用数据包解决问题”。

网安学习资源

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和网安大厂360共同研发的的网安视频教程，内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识，而且包含了中级的各种渗透技术，并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频，100多本网安电子书，最新学习路线图和工具安装包都有，不用担心学不全。

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源