实验1Wireshark协议分析HTTP协议.docx

1、实验1Wireshark协议分析HTTP协议实验二利用Wireshark分析协议 一、 实验目的分析 协议二、 实验环境与因特网连接的计算机，操作系统为 Windows,安装有Wireshark IE等软件。三、 实验步骤1利用 Wireshark俘获 分组1在进行跟踪之前，我们首先清空 Web浏览器的高速缓存来确保 Web网页是 从网络中获取的，而不是从高速缓冲中取得的。翻开浏览器，找到 In ternet选项，点击后出现如图1所示的界面。以IE浏览器为例，步骤为：点击浏览器右上角的“工具 -“Internet 选项。图1 In ternet选项之后，还要在客户端清空DNS高速缓存，以确保W

2、eb效劳器域名到IP地址的映射是从网络中请求的。在 Windows系列的机器上，可在命令提示行输入 ipconfig/flushdns完成操作(如图2所示)；具体步骤及Linux、MAC等系统的清空方法请参见：。图2命令提示行输入ipconfig/flushdns完成操作(2)启动Wireshark分组俘获器。(3) 在 Web浏览器中输入： (重庆大学网站)。(4)停止分组俘获图3利用 Wireshark俘获的 分组在 URL 中，是一个具体的 web 效劳器的主 机名。最前面有两个DNS分组。第一个分组是将主机名 转换成为对应的IP地址的请求，第二个分组包含了转换的结果。这个转换是必要的，

3、因为网络层协 议 IP协议，是通过点分十进制来表示因特网主机的， 而不是通过这样的主机名。当输入 URL 时，将要求 Web效劳器从主机 上请求数据，但首先 Web浏览器必须确定这个主机的IP地址。小提示-域名和主机关系举例：域名下,有主机serverl和server2其主机全名就是 和 随着转换的完成，Web浏览器与Web效劳器建立一个TCP连接。最后，Web浏览 器使用已建立好的TCP连接来发送请求“ GET/ /1.1 。这个分组描述了要求的行 为“ GET及文件只写“ /是因为我们没有指定额外的文件名，还有所用到 的协议的版本“ /1.1 。2、 GET/response 交互1在协议

4、框中，选择“ GET/ /1.1 所在的分组会看到这个根本请求行后 跟随着一系列额外的请求首部。在首部后的“ rn 表示一个回车和换行，以此将该首 部与下一个首部隔开。“Host首部在版本中是必须的，它描述了 URL中机器的主机，本例中 是这就允许了一个 Web效劳器在同一时间支持许多不同的主机名。User-Age nt首部描述了提出请求的 Web浏览器及客户机器有彩蛋哟，自己找。接下来是一系列的Accept首部，包括Accept接受、Accept-Language接受语言、 Accept-Encoding 接受编码、Accept-Charset接受字符集。它们告诉 Web效劳器客 户Web浏

5、览器准备处理的数据类型。 Web效劳器可以将数据转变为不同的语言和格式。Keep-Alive及Conn ection首部描述了有关TCP连接的信息，通过此连接发送 请求和响应。它说明在发送请求之后连接是否保持活动状态及保持多久。大多数连接是持久的persisten,意思是在每次请求后不关闭 TCP连接，而是保持该 连接以接受从同一台效劳器发来的多个请求。(2)我们已经分析了由 Web浏览器发送的请求，现在我们来观察 Web效劳器的回 答。响应首先发送“ /1.1 200 ok，指明它开始使用版本来发送网页。 同样，在响应分组中，它后面也跟随着一些首部。最后，被请求的实际数据被发送。第一个Cac

6、he-control首部，用于描述是否将数据的副本存储或高速缓存起来，以便 将来引用。一般个人的 Web浏览器会高速缓存一些本机最近访问过的网页，随后对同一页面再次进行访问时，如果该网页仍存储于高速缓存中，那么不再向效劳器请求数据。 类似地，在同一个网络中的计算机可以共享一些存在高速缓存中的页面，防止多个用户 通过到其他网路的低速网路连接从网上获取相同的数据。 这样的高速缓存被称为代理高速缓存(proxy cache。在我们所俘获的分组中我们看到“ Cache-contro首部值是“private的。这说明效劳器已经对这个用户产生了一个个性化的响应，而且可以被存 储在本地的高速缓存中，但不是共

7、享的高速缓存代理。j Hypertext Transfer Pratocal71 /1.1 2M OKrCache-Controll privaternContent-Type: text/btml; char5ft=(b2312rnServer; Microsoft-IIS/7h0rrx-ASpwet-version: 4.Ed219rnX-Powtrtd By: ASP.NETrnDate: Wed, Mar 08:11:34 GMTrni- Content-Length; 13142rnrn response 1/M在 请求中，Web效劳器列出内容类型及可接受的内容编码。此例中 Web服

8、务器选择发送内容的类型是text/html且内容编码是gzip。这说明数据局部是压缩了的 HTML。-Hypertext Transfer Protocolb GET / /l.lXrnAccept; text/html application/xtitml+xml, rnAccept-Language: zbi-CNrnUser-Agent: (Windows MT 6.1; WDK64; Trident/7.6; rv:lllike GeckornAcc&pt-Encodine： gzip deflaternHost: cqu.edu rnDMT： lrnConnection: Kt*p-

9、AlivernrnFull r电qu應URI点 小 request 1/19效劳器描述了一些关于自身的信息。此例中响应分组还用 Co nte nt-Le ngth首部描述了数据的长度。最后，效劳器还在 Date首部中列出了数据发送的日期和时间。根据俘获窗口内容，答复“四、实验报告内容中的 1-6题。3、 条件 GET/response 交互(1)启动浏览器，清空浏览器的缓存。(2)启动Wireshark分组俘获器，开始 Wireshark分组俘获。(3)在浏览器地址栏中如下 你的浏览器中将显示一个的非常简单的 HTML文件。(4) 在你的浏览器中重新输入相同的 URL或单击浏览器中的“刷新按钮

10、。(5)停止Wireshark分组俘获，在显示过滤筛选说明处输入“ ，分组列表子窗口 中将只显示所俘获到的 报文。根据操作答复“四、实验报告内容中的 7-10题。如果抓到的包太多，不好分析，可以在过滤处输入 co nta inswireshark，“wireshark可以换成想查的网址中的词，就可以把想要的内容过滤出来。Wireshark过滤语法总结附后。4、 获取长文件(1)启动浏览器，将浏览器的缓存清空。(2)启动Wireshark分组俘获器，开始 Wireshark分组俘获。(3)在浏览器地址栏中输入如下 (注:此抓包网址和 第3局部不一样)浏览器将显示一个相当大的美国权力法案。(4)停

11、止Wireshark分组俘获，在显示过滤筛选说明处输入“ ，分组列表子窗口中将只显示所俘获到的 报文。根据操作答复“四、实验报告内容中的 11-14题。5、 嵌有对象的HTML文档1 启动浏览器，将浏览器的缓存清空。2 启动Wireshark分组俘获器。开始 Wireshark分组俘获。3 在浏览器地址栏中输入如下 注:此抓包网址和 第4局部不一样浏览器将显示一个具有两个图片的短 文件。4 停止Wireshark分组俘获，在显示过滤筛选说明处输入“ ，分组列表子窗口中将只显示所俘获到的 报文。根据操作答复“四、实验报告内容中的 15-16题。6、 认证1 启动浏览器，将浏览器的缓存清空。2 启

12、动Wireshark分组俘获器。开始 Wireshark分组俘获。3 在浏览器地址栏中输入如下 ml浏览器将显示一个 文件，输入所需要的用户名和密码用户名：wireshark-stude nt密码:n etwork。4 停止Wireshark分组俘获，在显示过滤筛选说明处输入“ ，分组列表子窗口中将只显示所俘获到的 报文。根据操作答复“四、实验报告内容中的 17-18题。四、实验报告内容在实验的根底上，答复以下问题：(1)你的浏览器运行的是 ,还是 1.1 ?你所访问的效劳器所运行的 版本号是多少？皿 4W悄 * fciK* EftNg.轴J疋单【ZnnimS Ar lMTia& 249.沁

13、1.3 61 4 闘 MHiA M. IM amm i.3刖E7 4. air?301301 LA10.沁 LXl 21M3TP4, 35TS3S1Q 249. lag. so舐.002 1.4HTTF2S_. _ 2. 2.3asir 4. IIF7US. SO盅 L3HTTF35 -r 3如O闪202.远 13trnr3h 4. 39L7312QI. 242. 1.3fT- T wn TJ Tt T1 T lrtcm /, Ir;ijKliLCneie= Uerjlr Si： 15 Yl：3 reMi-o.n. c 12 L 1 1.1 加0 d (text cmSlieVCflMs!n

14、-leK&PcFwlr-SiTR*,!YTT3 Toais-:n cw ITIF/1-1 z CLaiin. I jue : lie -aul.t - Sty les YL；J Erid5-oj.jii j. -SKtE Cttti*C DefMLt Ccuidfli.cii HH】 liSits IefoultjStes/lHdaL css HTTF/l JSlit; CqLteln.- TBEKK-lkrult SEzlLfi/MkinT*!. T.X AU. U KTTP/L 1参考答案：浏览器运行的是 访问的效劳器运行的是 I- Hyp色丁：皀丫工 Transfer ?roiocoLa

15、 L. 1 200 0Krne Expert Info (Ctlflit/SeQlieKe) : HTTWl. 1 300 0Krn lifegsae： HlTP/1,1 20G OKrnZ,Svritv lc-l: ChiLt*Grcif : Sequenc?-Eequest Version; 1 1Hz卩tihf Cnd?: 200ConTeritTn：te?:t cs; r rContent-EncodinE； izipraLaii-ilodifisd! Wed, 27 Jun 2Q12 GMTrn(2)你的浏览器向效劳器指出它能接收何种语言版本的对象?参考答案:接收简体中文ruAccc

16、pt一: MhCN. zh;q=O-3i ixnrn(3)你的计算机的IP地址是多少？效劳器的IP地址是多少?参考答案：我的计算机 IP: 10.249.130.20 / Source效劳器的 IP： 202.202.1.13 / DestinationSourceDesti rationProtocolInfo10. 249-130- 20202. 202. 1. 3 GE7 / HTTF/E 1(4)从效劳器向你的浏览器返回的状态代码是多少?参考答案：200 OK202. 202. L310- 249. 130. 20 H1TP /1. 1 200 OK text/css5 你从效劳器上所

17、获取的HTML文件的最后修改时间是多少？参考答案：2021年9月13日03:169:17 GMTLast-Hodified: Thq 13 Sep 2021 03:19:17 GMTrn注意：大局部有 Last-Modified，少量没有，可以找个有的进行截图。6 返回到你的浏览器的内容一共多少字节？参考答案： 3373字节3 Content-Length: 337 3rn Content length: 3373rn7 分析你的浏览器向效劳器发出的第一个 GET请求的内容，在该请求报文中，是否有一行是：IF-MODIFIED-SINCE ？参考答案：没有 TtimsTtr Protseai医

18、T TT&shi.rk.-l*bs： HTTF-irf EMTk_fi 触屛 HTTF L 1 r nj ETpert Inf d rhal- 1 : GET TlTCFiark-labF FTP-v： rt5iark-f i3 e2 j宅 1, 1t .ti三二亡*亡.匸二I * iiishrat-f 1_亡二.比：口. H：TF :；i :SwtrliLf1 levels ChaiS-qu*rar亡？t ; :;2TRe;,Leat _fil. ii:5-LiL-k-f Lle_.vrxisa： aiiF/1-1bloat: & i bl c 3a ujiijia. cuW.nConnec

19、tion; kee- 口-aJ ivr.r nAccent tet Jitrlj rfila. teI a-licatlcr rnil g=&. 9i tbpi * *: i= ； & t tiUpgiite-1li t-c -i t-ftt aut-1 - : I1 r slLJjEr-Ascnti fezklla 5, 0 Windwi XT 1Q.0; AlVcbKit/S37. 3E :KKTML. like OirofM S. Q. 97 SoforlJSST 3firnAcrifcrfncodlLri,; yia d-efLaif. sch r iLc!：ept-Lan=T：a?e

20、- zh-CXP zr: q=0 . S r jira8 分析效劳器响应报文的内容，效劳器是否明确返回了文件的内容？如何获知？是的，在 Line-based text data 中显示。(9)分析你的浏览器向效劳器发出的第二个“ GET 请求，在该请求报文中是否有一行是：IF-MODIFIED-SINCE ?如果有，在该首部行后面跟着的信息是什么?(注意 Last-Modified 与 If-Modified-Sinee 的区别)有，该信息指的是页面的最后修改时间(10)效劳器对第二个 GET请求的响应中的 状态代码是多少？效劳器是否明确返回了文件的内容？请解释状态码：304.效劳器没有明确返

21、回文件内容。因为返回 304状态码，意思是不返回文件内容。具体原因：浏览器端缓存页面最后修改时间与效劳器端时间一致, 返回304状态码，客户端接到之后，就直接把本地缓存文件显示到浏览器中。吃艮】9+ 24鼻12 阳168.】04 肛TFH7TF/L 1 304 Not(11)你的浏览器一共发出了多少个 GET请求?参考答案: 一个liMo192. 16SL 1 昇 0412S. 119. 245- 12 HUPGET ；w：rcfiiark-labi w：rciMrk files, hta； HTIF/1. 1HTIF/J. 1 200 OK (text/hlnl)123. 119. 245

22、12 19Z- 160. 1. .104 HTIF(12)承载这一个 响应报文一共需要多少个 data-containing TCP报文段?需要四个data-containing TCP报文段4 %FV 詡MM- V J-4JT日Reassembled TCP Segments (4863 bytes): =21(1443), #22(1448), #24(1448), =25(019) Fran亡：21* 包丫1心孔d: 0-1447 (1448 bt亡冒 = rAme: 22, navlcad: 144S-2895 (1443 bvteai.-rane: 24. oavlcad: 2896

23、-4343 (1443 Et亡m；：ZFrane : 23, 口clcad: 4344-4862 2Reassembled TCP length: 4863?(13)与这个 GET请求相对应的响应报文的状态代码和状态短语是什么?参考答案:200 OK /1. 1 200 OK (text/htDl)(14)在被传送的数据中一共有多少个 状态行与TCP-induced “continuation有关？参考答案:一个，注意，虽然有四个data-co ntai ning TCP报文段，但只有这一个状态行与他111 U.24$.itiau .i2 MNTTF/l.m DK (tKt/htal)71 5

24、1.13*9 &：1B1.S.17?- &S-4-aTCPU54 显AY *2&B fM ACK 敢IrgiM ；cna-9* a 鼻 aur Trnarilsslan Control Frocclp Src Pcirx: Ba 僅Mt P&rt: 64S42 (6442Sea* 4S21 * Ack. 3S1L-en. M3 4 Mtlbtfftlled TCP 皂戸亡J V4JU44).F6& :) B fl47(144e #6M/CVt_5Th_irt /klHTPHT*P1373.L.2A.Mihttf船饶 W Iflh科咖4iia.ns.m wTCP1A54 TCP MtneTt f

25、ff ro-Wled PWJ 4453 u l1 as seti/hiF/wa-.11 *iip ar d ； Jutjoe 3 / pra - Dn HT TF/1.1mICT.lfl 144 14TOTF 咖|J21 14.77*15219.1419.112.IK-10.6.1*2 &29 KP ACred unseen 兌声肝口 MTTP/1. i 29 CK Cd*和 曰&9513115. *4.6H. 15 7 4LK t pcrjri i口nedhendj 阳丁r rdwcv-iiJe；弓时屏2 . /I .1mat趴itt*札TbTCP rf puj193r12S JI 24a；

26、. 12 207 Err Zf . ica l .1111.119.2 JL2 Ml -/!.! W iwt (Tert/wtul)(16)浏览器在下载这两个图片时，是串行下载还是并行下载？请解释参考答案: 并行，因为两个图片是连续请求，不需要等第一个请求得到回复后才继续第二次 请求。有时候不同网络环境下，可能抓到的包是在对应请求得到回应后才继续第 二次的请求，有时候是不需要等第一个请求得到回复后才继续第二次请求。可以 多抓几次试试。只有存在不需要等第一个请求得到回复后才继续第二次请求的情 况，就说明是并行的HTTFGFT / $ieti/hip/ti/b切诃1时电dMletgFpek(If7

27、1 3. 362416 4ZB GFT /-fcuroseX COV&PStfled . j pg /1 a 1-J.4 . J1. I -E . liTCPJIA TCP orf a rtirrblfd Pb_ij(17)对于浏览器发出的最初的 GET请求，效劳器的响应是什么(状态代码和状态短语)?参考答案:401 Un authorizedL. 1CBL 1. 10412Sk L9. MS. L2 QHT /v i re thu k I /proteE t ed jsaer g, J1Tn*=i j rr shark f i 1 htn 1 HTTF * L 】E|TTPJUlli1/! 1 W3i UtauurtbEviiad (tvxt129. 119. 245- 12 HT t l k_lab; zrc tec r-= HIT?- ire shirk-htil rTTr :- 1WH*/L 1 200 OK Itm hint) (18)当浏览器发出第二个 GET请求时，在 GET报文中包含了哪些新的字段?参考答案:t Authorisation: Basie d2lyZXNoYX1 bnRsOmoldHdven3=r n参考资料:1. 1.0 协议 s:/