实验1Wireshark协议分析HTTP协议.docx

实验1Wireshark协议分析HTTP协议.docx

《实验1Wireshark协议分析HTTP协议.docx》由会员分享，可在线阅读，更多相关《实验1Wireshark协议分析HTTP协议.docx（17页珍藏版）》请在冰点文库上搜索。

实验1Wireshark协议分析HTTP协议

实验二利用Wireshark分析协议

一、实验目的

分析协议

二、实验环境

与因特网连接的计算机，操作系统为Windows,安装有WiresharkIE等软件。

三、实验步骤

1利用Wireshark俘获分组

〔1〕在进行跟踪之前，我们首先清空Web浏览器的高速缓存来确保Web网页是从网络中获取的，而不是从高速缓冲中取得的。

翻开浏览器，找到Internet选项，点击

后出现如图1所示的界面。

以IE浏览器为例，步骤为：

点击浏览器右上角的“工具〞-

“Internet选项〞。

图1Internet选项

之后，还要在客户端清空DNS高速缓存，以确保Web效劳器域名到IP地址的映射

是从网络中请求的。

在Windows系列的机器上，可在命令提示行输入ipconfig/flushdns

完成操作（如图2所示）；具体步骤及Linux、MAC等系统的清空方法请参见：

。

图2命令提示行输入ipconfig/flushdns完成操作

（2）启动Wireshark分组俘获器。

（3）在Web浏览器中输入：

（重庆大学网站）。

（4）停止分组俘获

图3利用Wireshark俘获的分组

在URL中，是一个具体的web效劳器的主机名。

最前面有两个DNS分组。

第一个分组是将主机名转换成为对应

的IP地址的请求，第二个分组包含了转换的结果。

这个转换是必要的，因为网络层协议IP协议，是通过点分十进制来表示因特网主机的，而不是通过这

样的主机名。

当输入URL时，将要求Web效劳器从主机上请求数据，但首先Web浏览器必须确定这个主机的IP地址。

小提示--域名和主机关系举例：

域名下,有主机serverl和server2其主机全名

就是和

随着转换的完成，Web浏览器与Web效劳器建立一个TCP连接。

最后，Web浏览器使用已建立好的TCP连接来发送请求“GET//1.1〞。

这个分组描述了要求的行为〔“GET〞〕及文件〔只写“/〞是因为我们没有指定额外的文件名〕，还有所用到的协议的版本〔“/1.1〞〕。

2、GET/response交互

〔1〕在协议框中，选择“GET//1.1〞所在的分组会看到这个根本请求行后跟随着一系列额外的请求首部。

在首部后的“\r\n〞表示一个回车和换行，以此将该首部与下一个首部隔开。

“Host〞首部在版本中是必须的，它描述了URL中机器的主机，本例中是这就允许了一个Web效劳器在同一时间支持许多不同的主机名。

User-Agent首部描述了提出请求的Web浏览器及客户机器〔有彩蛋哟，自己找〕。

接下来是一系列的Accept首部，包括Accept〔接受〕、Accept-Language接受语言〕、Accept-Encoding〔接受编码〕、Accept-Charset〔接受字符集〕。

它们告诉Web效劳器客户Web浏览器准备处理的数据类型。

Web效劳器可以将数据转变为不同的语言和格式。

Keep-Alive及Connection首部描述了有关TCP连接的信息，通过此连接发送请求和响应。

它说明在发送请求之后连接是否保持活动状态及保持多久。

大多数

连接是持久的〔persisten〕,意思是在每次请求后不关闭TCP连接，而是保持该连接以接受从同一台效劳器发来的多个请求。

（2）我们已经分析了由Web浏览器发送的请求，现在我们来观察Web效劳器的回答。

响应首先发送“/1.1200ok〞，指明它开始使用版本来发送网页。

同样，在响应分组中，它后面也跟随着一些首部。

最后，被请求的实际数据被发送。

第一个Cache-control首部，用于描述是否将数据的副本存储或高速缓存起来，以便将来引用。

一般个人的Web浏览器会高速缓存一些本机最近访问过的网页，随后对同

一页面再次进行访问时，如果该网页仍存储于高速缓存中，那么不再向效劳器请求数据。

类似地，在同一个网络中的计算机可以共享一些存在高速缓存中的页面，防止多个用户通过到其他网路的低速网路连接从网上获取相同的数据。

这样的高速缓存被称为代理高

速缓存（proxycache。

在我们所俘获的分组中我们看到“Cache-contro〞首部值是

“private〞的。

这说明效劳器已经对这个用户产生了一个个性化的响应，而且可以被存储在本地的高速缓存中，但不是共享的高速缓存代理。

jHypertextTransferPratocal

71/1.12MOK\r\«

Cache-Controllprivate\r\n

Content-Type:

text/btml;char5ft=（b2312\r\n

Server;Microsoft-IIS/7h0\r\r

x-ASpwet-version:

4.Ed219\r\n

X-PowtrtdBy:

ASP.NET\r\n

Date:

Wed,Mar08:

11:

34GMT\r\n

i-Content-Length;13142\r\n

\r\n

[response1/M]

在请求中，Web效劳器列出内容类型及可接受的内容编码。

此例中Web服

务器选择发送内容的类型是text/html且内容编码是gzip。

这说明数据局部是压缩了的HTML。

-HypertextTransferProtocol

bGET//l.lXr\n

Accept;text/html^application/xtitml+xml,■\r\n

Accept-Language:

zbi-CN\r\n

User-Agent:

（WindowsMT6.1;WDK64;Trident/7.6;rv:

lllikeGecko\r\n

Acc&pt-Encodine：

gzip^deflate\r\n

Host:

cqu.edu\r\n

DMT：

l\r\n

Connection:

Kt*p-Alive\r\n

\r\n

『Fullr电qu應URI点小

[request1/19]

效劳器描述了一些关于自身的信息。

此例中响应分组还用Content-Length首部描述

了数据的长度。

最后，效劳器还在Date首部中列出了数据发送的日期和时间。

根据俘获窗口内容，答复“四、实验报告内容〞中的1-6题。

3、条件GET/response交互

（1）启动浏览器，清空浏览器的缓存。

（2）启动Wireshark分组俘获器，开始Wireshark分组俘获。

（3）在浏览器地址栏中如下

你的浏览器中将显示一个的非常简单的HTML文件。

（4）在你的浏览器中重新输入相同的URL或单击浏览器中的“刷新〞按钮。

（5）停止Wireshark分组俘获，在显示过滤筛选说明处输入“〞，分组列表子窗口中将只显示所俘获到的报文。

根据操作答复“四、实验报告内容〞中的7-10题。

如果抓到的包太多，不好分析，可以在过滤处输入contains

"wireshark"，“wireshark'可以换成想查的网址中的词，就可以把想要的内容过滤出来。

Wireshark过滤语法总结附后。

4、获取长文件

（1）启动浏览器，将浏览器的缓存清空。

（2）启动Wireshark分组俘获器，开始Wireshark分组俘获。

（3）在浏览器地址栏中输入如下

（注:

此抓包网址和第3局部不一样）

浏览器将显示一个相当大的美国权力法案。

（4）停止Wireshark分组俘获，在显示过滤筛选说明处输入“〞，分组列表子窗

口中将只显示所俘获到的报文。

根据操作答复“四、实验报告内容〞中的11-14题。

5、嵌有对象的HTML文档

〔1〕启动浏览器，将浏览器的缓存清空。

〔2〕启动Wireshark分组俘获器。

开始Wireshark分组俘获。

〔3〕在浏览器地址栏中输入如下

〔注:

此抓包网址和第4局部不一样〕

浏览器将显示一个具有两个图片的短文件。

〔4〕停止Wireshark分组俘获，在显示过滤筛选说明处输入“〞，分组列表子窗

口中将只显示所俘获到的报文。

根据操作答复“四、实验报告内容〞中的15-16题。

6、认证

〔1〕启动浏览器，将浏览器的缓存清空。

〔2〕启动Wireshark分组俘获器。

开始Wireshark分组俘获。

〔3〕在浏览器地址栏中输入如下

ml

浏览器将显示一个文件，输入所需要的用户名和密码〔用户名：

wireshark-student密码:

network〕。

〔4〕停止Wireshark分组俘获，在显示过滤筛选说明处输入“〞，分组列表子窗

口中将只显示所俘获到的报文。

根据操作答复“四、实验报告内容〞中的17-18题。

四、实验报告内容

在实验的根底上，答复以下问题：

（1）你的浏览器运行的是,还是1.1?

你所访问的效劳器所运行的

版本号是多少？

皿4W

悄*fciK

*Eft

Ng.

轴J疋单

【Znnim

SArlMTia

[&249.

沁1.

3

614闘MH

iAM.IM■

ammi.

3

刖—E

74.air?

»

301301LA

10.沁LXl21

M3TP

4,35TS3S

1Q249.lag.so

舐.0021.

4

HTTF

2S_._>2.2.

.3

asir

«4.IIF7»

US.SO盅L

3

HTTF

35-r3如O闪

202.远1

3

trnr

3h4.39L731

2QI.242.1.

3

f>T-T—wnTJTtT1„Tlrtcm・・・・・・・

/],I

r;ij[KliLCneie=Uer^jlrSi：

1^5Yl：

3reMi-o.n.c12L11.1加0d（textcm

SlieVCflMs!

n■-leK&'PcFwlr-SiTR*,!

YTT3Toais-■■:

n>cwITIF/1-1zC^L'aiin.Ijue:

lie£-aul.t-StylesYL；JErid5-oj.jiij.--

SKtE'Ctt^t^i**C£■DefM'LtCcuidfli.ci>iHH"】・li

SitsI>efoultjSt^]es/lHd«aLcssHTTF/l^J

Slit;CqLteln.-TBEKK-lkr«ultSEzl^Lfi/Mkin'T*!

.T.XAU.UKTTP/L1

参考答案：

浏览器运行的是

访问的效劳器运行的是

I-Hyp色丁：

皀丫工Transfer?

roiocoL

aL.12000K\r\n

e{ExpertInfo（Ctlflit/SeQlieKe）:

HTTWl.13000K\r\nlifegsa^e：

HlTP/1,120GOK\r\nZ

S~v^ritvlc<-l:

ChiLt〞

*Grci]f:

Sequenc?

-

EequestVersion;11

Hz卩tihfCnd?

:

200

ConTerit'Tn：

^te?

:

tcs;'rr

Content-EncodinE；izip'r■a

Laii-ilodifisd!

Wed,27Jun2Q12GMT\r\n

（2）你的浏览器向效劳器指出它能接收何种语言版本的对象?

参考答案:

接收简体中文

\r\u

Acccpt一:

Mh—CN.・zh;q=O-3

i\i

\x\n

\r\n

（3）你的计算机的IP地址是多少？

效劳器的IP地址是多少?

参考答案：

我的计算机IP:

10.249.130.20//Source

效劳器的IP：

202.202.1.13//Destination

Source

Destiration

Protocol

Info

10.249-130-20

202.202.1.3

GE7/HTTF/E1

（4）从效劳器向你的浏览器返回的状态代码是多少?

参考答案：

200OK

202.202.L3

10-249.130.20H1TP

/1.1200OK〔text/css〕

〔5〕你从效劳器上所获取的HTML文件的最后修改时间是多少？

参考答案：

2021年9月13日03:

169:

17GMT

Last-Hodified:

Thq13Sep202103:

19:

17GMT\r\n

注意：

大局部有Last-Modified，少量没有，可以找个有的进行截图。

〔6〕返回到你的浏览器的内容一共多少字节？

参考答案：

3373字节

3Content-Length:

3373\r\n[Contentlength:

3373]

\r\n

〔7〕分析你的浏览器向效劳器发出的第一个GET请求的内容，在该请求报文

中，是否有一行是：

IF-MODIFIED-SINCE？

参考答案：

没有

■TtimsTtrProtseai

医TT£T&shi.rk.-l*bs：

HTTF-^'irfEMTk_fi触屛HTTFL1rn

j[ETpertInfdrhal-1:

GETTlTCFiark-labFFT~P-v：

rt5iark-fi3e2・j■宅1,1\t.ti[

三二亡*亡.•匸二I*iiishrat-f1_亡二.比：

口.H：

TF:

；i□:

[SwtrliLf1levelsChai]

S«-qu*rar«]

亡？

t;:

;2T

Re;,Leat_fil.ii:

±5-LiL-k-fLle_.

v^rxisa：

aiiF/1-1

bloat:

&■iblc3aujiijia.c^uW'.n

Connection;kee-口-aJivr.r'n

Accent»te~tJitrljrfila.teIa-^licatlcrrnilg=&.9i~tbpi*■*:

i=；&t'ti

Upgiite-1lit-c-it-fttaut-1-:

I1rsl

LJjEr-Ascntifezklla5,0〔WindwiXT1Q.0;A^l«VcbKit/S37.3E■:

KKTML.likeOirofM^S.Q.97SoforlJ'SST^3fi\r\n

Acrifcrf~ncodlLri,;yiad-efLaif.s^chr■i

^Lc!

：

ept-Lan=T：

a?

e-zh-CXPzr:

:

q=0.S\rji

\r\a

〔8〕分析效劳器响应报文的内容，效劳器是否明确返回了文件的内容？

如何获知？

是的，在Line-basedtextdata中显示。

（9）分析你的浏览器向效劳器发出的第二个“GET〞请求，在该请求报文中是否

有一行是：

IF-MODIFIED-SINCE?

如果有，在该首部行后面跟着的信息是什么?

（注意Last-Modified与If-Modified-Sinee的区别）

有，该信息指的是页面的最后修改时间

（10）效劳器对第二个GET请求的响应中的状态代码是多少？

效劳器是

否明确返回了文件的内容？

请解释

状态码：

304.效劳器没有明确返回文件内容。

因为返回304状态码，意思是不

返回文件内容。

具体原因：

浏览器端缓存页面最后修改时间与效劳器端时间一致,返回304状态码，客户端接到之后，就直接把本地缓存文件显示到浏览器中。

吃艮】】9+24鼻12阳168.】04肛TF

H7TF/L1304Not

（11）你的浏览器一共发出了多少个GET请求?

参考答案:

一个

liMo

192.16SL1昇04

12S.119.245-12HUP

GET；w：

rcfiiark-labiw：

rciMrkfiles,hta；HTIF/1.1

HTIF/J.1200OK（text/hlnl）

123.119.245・1219Z-160.1..104HTIF

（12）承载这一个响应报文一共需要多少个data-containingTCP报文段?

需要四个data-containingTCP报文段

4%FV詡MM-\VJ--4JT

日[ReassembledTCPSegments（4863bytes）:

±=21（1443）,#22（1448）,#24（1448）,=25（019）[Fran亡：

21*□包丫1心孔d:

0-1447（1448b^t亡冒

"=rAme:

22,navlcad:

144S-2895（1443bvtea'i

[.-rane:

24.oavlcad:

2896-4343（1443Et亡m；：

ZFrane:

23,口clcad:

4344-4862<519bvtes>2

[ReassembledTCPlength:

4863?

（13）与这个GET请求相对应的响应报文的状态代码和状态短语是什么?

参考答案:

200OK

/1.1200OK（text/htDl）

（14）在被传送的数据中一共有多少个状态行与TCP-induced“continuation〞有

关？

参考答案:

一个，注意，虽然有四个data-containingTCP报文段，但只有这一个状态行与他

111U».24$.

itiau».i«2

M^NTTF/l.

mDK（t»Kt/htal）<

715^1.13*9&

―……

：

1B1.S.17?

-&S-4-a

TCP

U»

54显AY■*

2&Bf

M[ACK]敢IrgiM；cna-9

<■-■1rJBJJii/il■■!

■!

'■■■—>*a■«■■■■鼻■・aur・

Tr^narilsslanControlFro«cclpSrcPcirx:

Ba僅MtP&rt:

64S42（64^42Sea*4S21*Ack.3S1』L-en.M3[4MtlbtfftlledTCP£皂戸亡JV4JU44・）.F6&:

）Bfl47（144e^#6»<5JJ）]

们相关。

『=「ia・ie；w

[-Sigwnt£«vnt:

J]

[H!

ti£5enviedT»lenfth:

唧Irinsfir

KTTp/l.i2B4CK\r\n

Oaite：

心，MMa*-两询ie：

5亍廿匕

TCPDlf4£A汕纯皆JQMIU酣出恥S4鼻且锻3皿肛比■沖LT..-]

（15）你的浏览器一共发出了多少个和翻开的网址相关的GET请求？

这些请求

被发送到的目的地的IP地址是多少？

参考答案：

五个GET请求。

目的地址分别是0、

4、128.119.240.90（可能不同版本、不同情况下抓出

来的不一样，根据实际情况分析）

/*kir«>M/C©Vt^_5Th_irt]«/kl

HTP

HT*P

137

3».L».2A«.Mi

httf

船■饶

WIflh科咖4

iia.ns.mw

TCP

1A54[[TCPMtneTtfff«ro-WledPWJ]

4453ul1asseti/hiF/wa-.11*iipard；Jutjo^e3/pra->DnHTTF/1.1

m

ICT.lfl14414

TO

[T£F咖]|

J2114.77*152

19^.1419.112.^

IK-10.6.1*2

&29[[KPACredunseen兌声肝口MTTP/1.i2^9CKCd*和曰

&9513

115.*4.6H.157

4LKtpcrjrii口nedhendj阳丁□rrdwcv-iiJe；弓时屏2./I.1

m

at趴itt*札

Tb

[TCPrf«^puj

193r

12SJI24a；.12

207ErrZf.ica^l.1

111.119.2^JL2

Ml-/!

.!

Wiwt（Tert/wtul）

（16）浏览器在下载这两个图片时，是串行下载还是并行下载？

请解释

参考答案:

并行，因为两个图片是连续请求，不需要等第一个请求得到回复后才继续第二次请求。

有时候不同网络环境下，可能抓到的包是在对应请求得到回应后才继续第二次的请求，有时候是不需要等第一个请求得到回复后才继续第二次请求。

可以多抓几次试试。

只有存在不需要等第一个请求得到回复后才继续第二次请求的情况，就说明是并行的

HTTF

GFT/■$ieti/hip/ti/b切—诃1〞时电dMletg〞Fpek（If

713.362416

4ZBGFT/-fcuroseXCOV&P^Stfl^ed.jpg/1a1

-J..4.J1^.I-E.li

TCP

JIA[TCPorfar"ti^r«rblfdPb_ij

（17）对于浏览器发出的最初的GET请求，效劳器的响应是什么（状态代码和状

态短语）?

参考答案:

401Unauthorized

L«.1CBL1.104

12Sk]L9.MS.L2

QHT/virethuk~I/proteEtedjsaerg,J1Tn*=ijrrsharkfi1htn1HTTF*'L】

E|TTP

JUlli1/!

・1W3iUtauurtbEvi'iad（tvxt

129.119.245-12

"HTtlk_lab;zrctecr-=HIT?

--ireshirk-htilrTTr:

-1

WH*/L1200OKItmhint）~

（18）当浏览器发出第二个GET请求时，在GET报文中包含了哪些

新的字段?

参考答案:

tAuthorisation:

Basied2lyZXNoYX1bnRsOmoldHdven3=\r''n

参考资料:

1.1.0协议

s:

//