查找 tcp 握手的三个包：

方法一：随便找一个 http 协议的包，观察其地址（不同于本机 IP 地址-192.168.……）的地址，查询输入 ip.src == 183.3.233.225 or ip.dst ==183.3.233.225 来搜寻相关包。在搜寻出来的包里头找到三次握手的包（特点：[SYN] seq=0、[SYN,ACK]seq=0,ack=1、[ACK] seq=1）
方法二：因为三次握手的第二个数据包非常特殊，SYN ACK同时置位，可以利用这个特点发现一个三次握手过程。查询输入tcp.flags.syn == 1 && tcp.flags.ack == 1来找到三次握手的第二个包。在得到的列表中单机右键点击追踪流，选择TCP流。之后得到TCP流的各个包。从中即可找到三次握手的三个包。

观察包

第一个握手数据包：客户端发送一个TCP，标志位为SYN，***为0， 代表客户端请求建立连接。 如下图

第二个握手数据包：服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的ISN加1以.即0+1=1,如下图
sequence number=0（当前发送出去的序号），acknowledgement number=1（希望接收到的号）

第三个握手数据包：客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1,如下图：