关于WinDump的具体用法你可以从网上其他地方获取，这里我只稍微提一下。要让WinDump开始监听数据，

　　首先需要确定让其监听哪一个网络设备(或者说是网络接口)。你可以:

　　windump -D

　　获取当前机器上的网络接口。然后使用：

　　windump -i 2

　　开始对网络接口2的数据监听。windump如同tcpdump(其实就是tcpdump)一样支持过滤表达式，windump

　　将会根据你提供的过滤表达式过滤不需要的网络数据包，例如：

　　windump -i 2 port 4000

　　那么windump只会显示端口号为4000的网络数据。

　　序号和确认号：

　　要讲解TCP的建立过程，也就是那个所谓的三次握手，就会涉及到序号和确认号这两个东西。翻书到TCP 的报文头，有两个很重要的域(都是32位)就是序号域和确认号域。可能有些同学会对TCP那个报文头有所 疑惑(能看懂我在讲什么的会产生这样的疑惑么？)，这里我可以告诉你，你可以假想TCP的报文头就是个 C语言结构体(假想而已，去翻翻bsd对TCP的实现，肯定没这么简单)，那么大致上，所谓的TCP报文头就是：

　　typedef struct _tcp_header

　　{

　　/**//// 16位源端口号

　　unsigned short src_port;

　　/**//// 16位目的端口号

　　unsigned short dst_port;

　　/**//// 32位序号

　　unsigned long seq_num;