WireShark是一種非常方便的網絡抓包工具，下面演示，使用WireShark來抓取TCP的三次握手過程。

一、TCP的三次握手過程如下：

1）客戶端發送序列號為Seq = c的SYN數據包給服務器；

2）服務器接到該包后，響應(或返回)一個序列號為Seq = s,確認號為 Ack = c+1的SYN+ACK數據包給客戶端；

3）客戶端收到服務器的響應后，就會回復一個序列號為Seq = c+1, 確認號為Ack = s+1的ACK數據包給服務器，三次握手完成。

二、WireShark捕獲TCP三次握手過程

1、下載WireShark

地址：https://dl.softmgr.qq.com/original/System/Wireshark-win64-3.2.5.exe

2、安裝WireShark

一路點擊默認，直到安裝完成；
? ?3、點擊桌面左下角的[開始] --》WireShark -->雙擊[以太網]這一欄，如圖（1）所示：

4、在瀏覽器里輸入http格式的網頁，比如：http://www.xitongcheng.com/jiaocheng/xtazjc_article_32713.html
回車即可。

5、根據URI中的文件目錄/jiaocheng(URI里的第三層目錄即為文件目錄)，找到對應的HTTP服務器的IP,
如下：

5.1）按Ctrl+F，輸入查找的關鍵字"GET /jiaocheng"， 先點擊列表的的第一行，然后點擊[查找]按鈕，就得到HTTP服務器的IP，如圖(2)、圖(3)所示：

5.2 ）在輸入框里，將IP的源地址和目標地址，都設置為HTTP服務器的IP，回車即可，如圖(4)所示：

//輸入要過濾的源地址和目標地址

ip.dst==219.159.84.45orip.src==219.159.84.45

解釋如下：

1）IP地址為192.168.0.101的客戶端，發送序列號為Seq=0的報文給IP地址為219.159.84.45的服務器，此為第一次握手；

2）服務器收到該報文后，返回一個確認號為Ack=1, 序列號為Seq=0的SYN+ACK的報文給客戶端，此為第二次握手；

3）客戶端收到來自服務器的響應報文，會將里面的序列號加1賦給新的Ack，同時將里面的Ack賦給新的Seq，即回復一個Seq=1, Ack=1的ACK報文給服務器，此為第三次握手。