这是个好问题，但凡了解过tcp的同学，都知道三次握手、四次挥手，但要真正理解，却不是那么容易。

四次挥手，都知道是客户端和服务器之间交互的四个报文，FIN、ACK、FIN、ACK。但抓包来看，却不是每次如教科书说的那样。

首先要搞明白这个FIN报文的真正用途，FIN报文用在本端没有数据发送给对方时，关闭从本端到对端的连接。

但是并不影响从对方到本端的连接，也就是说本端仍然可以接收对方的数据。即发送通道关闭，接收通道正常。

如果对方收到本端FIN报文时，对方的接收通道就会关闭。

此时，如果对方也没有数据发给本端，那么对方也会发送FIN给本端，用于关闭从对方到本端的连接，这时候就可能出现ACK和FIN合在一起的情况。

当然，如果对方仍然有数据发送，那么就等数据发完，再发FIN来关闭连接，这时候就是四次挥手了。

因此，四次挥手变成三次，跟wireshark没关系，跟数据的收发双方才有关系，从这也能看出tcp是双工通信了。