WireShark使用指南之数据包，数据包延迟分析，实用技巧

一.数据包
wireshark捕获到一个数据包，分为帧，包，段。
Frame:物理层的数据帧概况；
Ethernet II : 数据链路层以太网头部信息；
Internet Protocol Version 4: 互联网IP包头部信息；
Transmission Control Protocol: 传输层的数据段头部信息，这里是TCP；
Hypertext Transfer Protocol:应用层的信息，这里是HTTP协议；
1.物理层的数据帧概况
2.数据链路层以太网帧头部信息

3.互联网层IP包头部信息

4.传输层TCP数据段头部信息

二.分析Web浏览数据

捕获访问www.baidu.com的数据过程，在整个过程中将包含DNS请求，响应和TCP三次握手等数据。

72帧和73帧是DNS将www.baidu.com解析为一个ip地址的数据包。
接下来是TCP的三次握手

三.数据包时间延迟
数据包时间延迟是指一个数据包从用户的计算机发送到网站服务器，然后再立即从网站服务器返回用户计算机的来回时间。
1.时间延迟:
如果延迟时间过长，可能是路径或端点导致的问题。Time和Info列可以查看延迟的3种类型，分别是线路延迟，客户端延迟和服务器延迟。

1.1 线路延迟的显示和原因
当服务器接收到一个SYN数据包时，由于不涉及任何传输层以上的处理，发送一个响应只需要非常小的处理量。即使服务器正承受巨大的负载，通常也会迅速地向SYN数据包响应一个SYN/ACK,这样就可以排除了服务器和客户端导致高延迟的可能性。

1.2 客户端延迟的显示和原因
客户端延迟通常是由用户，应用程序或缺乏足够的资源造成的，大多数应用程序加载再服务器端通信，然而，如果碰巧有一个应用程序加载再客户端和服务器之间，那么必须考虑客户端的响应时间。

如当客户端发送TCP三次握手中最后一个ACK包给服务器时，同时也想服务器发送了一个request，但是该请求的速度较慢，服务器只响应了客户端的确认包，无法响应客户端发送的request。

1.3 服务器延迟的显示和原因
服务器延迟发生再服务器缓慢响应发送来的请求时。可能是因为服务器无法处理一个错误的应用程序或受其他类型干扰，需要请求另一个服务器来处理该问题，导致的服务器延迟响应。

四.实用技巧

1.显示当前数据包相比上一数据包的时间差
View----> Time Display Format---->Seconds Since Previous Displayed Packet
2. 捕获文件集
在捕获窗口中，可以设置每个文件的大小及每隔多长时间保存一个文件。

可以在工具栏中File—>File Set---->List Files命令查看文件集中的所有文件。