实训二 用WireShark分析IP、TCP、HTTP

合集下载

实验二 用 Wireshark 进行协议分析

实验二 用 Wireshark 进行协议分析

实验二用Wireshark 进行协议分析一.分组及实验任务组长:,组员:由于本次试验不需要合作,所以每个人的任务都一样。

任务:1. 学习协议分析软件Wireshark 的使用。

2. 分析以太网帧格式。

3. 分析IP、ICMP、ARP 数据包格式。

二.实验环境1.以太网交换机1 台、PC 机2 台;2.实验拓扑如下:三.实验过程在命令行界面执行命令ping,在Wireshark选项界面的Capture option 中设置过滤规则:“ether proto0x0806”,界面出现了arp request和arp reply的包;设置过滤规则:”ip proto 1 “,界面出现了ICMP request 和ICMP reply 的包;设置过滤规则:“ether proto 0x0806 or ip proto 1”后,界面出现了ARP和ICMP的request包以及reply包。

四.问题解答1. 抓取一对ARP 包(包括ARP request 和ARP reply ),分析以太网帧头的字段。

解:下图是做实验时用软件抓到的ARP包:以太网首部:目的主机采用的是广播地址00:21:97:29:44,源主机的MAC地址是00:21:97:29:80:50;上层协议类型0x0806代表ARP2. 抓取一对封装ICMP 报文的IP 数据报(包括echo 和echo reply ),然后1) 找到两个ICMP 报文中的类型(type)和代码(code )字段,2) 分析其中一个IP 数据报的首部字段值,3) 并计算首部校验和。

解:1):这是一个ICMP回应请求报文,报文类型为08,代码字段为00这是一个ICMP回应应答报文,报文类型为00,代码字段为002):ICMP回应请求报文中IP数据报的首部字段为:45:00:00:3c:a4:2a:00:00:80:01:13:62:c0:98:01:03:c0:98:01:01第一个字节“45”高四位为“4”,代表IP协议的版本为4,低四位为“5”,代表该IP数据报的首部长度为20个字节;第二个字节为“00”,为区分服务;第三、四个字节为“003c”,表示该IP数据报的总长度为60字节(3x16+12=60);第五六字节为“a42a”,为标识字段;第七八字节为“0000”,前三位为标志字段,表示该数据报为若干数据报片中的最后一个,在这代表只有一个数据报,不存在分片;后十三位为片偏移字段,在这没有意义;第九个字节为“80”,表示生存时间;第十个字节为“01”,表用来示该数据报携带的数据使用的何种协议,在这表示使用的是UDP协议;第十一十二字节为“13 62”,为首部检验和;第十三至第十六字节为“c0 98 01 03”,表示源地址;第十七至第二十字节为“c0 98 01 01”,表示目的地址;3):数据报首部反码算术求和二进制表示为0011011100111001,取反码为1100100011000110;即首部校验和为1100100011000110;五.实验总结本次试验主要要求我们熟悉wireshark软件,难度不是很大,我们很快就做完了,再结合课堂上学习到的知识,思考题也迎刃而解。

TCPIP实验之IP数据包分析--

TCPIP实验之IP数据包分析--

TCP/IP协议与编程实验姓名:班级:学号:实验题目用Wireshark抓包分析ip数据包一、实验目的1、了解并会初步使用Wireshark,能在所用电脑上进行抓包2、了解IP数据包格式,能应用该软件分析数据包格式3、查看一个抓到的包的内容,并分析对应的IP数据包格式二、实验内容Wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。

实验步骤:1、打开wireshark,选择接口选项列表。

或单击“Capture”,配置“option”选项。

2、设置完成后,点击“start”开始抓包:3、显示结果:3、选择某一行抓包结果,双击查看此数据包具体结构。

4、捕捉IP数据报。

① 写出IP数据报的格式。

IP数据报首部的固定部分中的各字段含义如下:(1)版本占4位,指IP协议的版本。

通信双方使用的IP协议版本必须一致。

目前广泛使用的IP协议版本号为4(即IPv4)。

(2)首部长度占4位,可表示的最大十进制数值是15。

请注意,这个字段所表示数的单位是32位字长(1个32位字长是4字节),因此,当IP的首部长度为1111时(即十进制的15),首部长度就达到60字节。

当IP分组的首部长度不是4字节的整数倍时,必须利用最后的填充字段加以填充。

因此数据部分永远在4字节的整数倍开始,这样在实现IP协议时较为方便。

首部长度限制为60 字节的缺点是有时可能不够用。

但这样做是希望用户尽量减少开销。

最常用的首部3)区分服务占8位,用来获得更好的服务。

这个字段在旧标准中叫做服务类型,但实际上一直没有被使用过。

1998年IETF把这个字段改名为区分服务DS(Differentiated Services)。

只有在使用区分服务时,这个字段才起作用。

(4)总长度总长度指首部和数据之和的长度,单位为字节。

总长度字段为16位,因此数据报的最大长度为216-1=65535字节。

长度就是20字节(即首部长度为0101),这时不使用任何选项。

使用Wireshark分析TCP协议(doc 6页)

使用Wireshark分析TCP协议(doc 6页)

实验五使用Wireshark分析TCP协议一、实验目的分析TCP协议二、实验环境与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。

三、实验步骤1、TCP介绍(1)连接建立:TCP连接通过称为三次握手的三条报文来建立的。

在Wireshark中选择open->file,选择文件tcp_pcattcp_n1.cap,其中分组3到5显示的就是三次握手。

第一条报文没有数据的TCP报文段,并将首部SYN位设置为1。

因此,第一条报文常被称为SYN分组。

这个报文段里的序号可以设置成任何值,表示后续报文设定的起始编号。

连接不能自动从1开始计数,选择一个随机数开始计数可避免将以前连接的分组错误地解释为当前连接的分组。

观察分组3,Wireshark显示的序号是0。

选择分组首部的序号字段,原始框中显示“94 f2 2e be”。

Wireshark显示的是逻辑序号,真正的初始序号不是0。

如图1所示:图1:逻辑序号与实际初始序号SYN分组通常是从客户端发送到服务器。

这个报文段请求建立连接。

一旦成功建立了连接,服务器进程必须已经在监听SYN分组所指示的IP地址和端口号。

如果没有建立连接,SYN分组将不会应答。

如果第一个分组丢失,客户端通常会发送若干SYN分组,否则客户端将会停止并报告一个错误给应用程序。

如果服务器进程正在监听并接收到来的连接请求,它将以一个报文段进行相应,这个报文段的SYN位和ACK位都置为1。

通常称这个报文段为SYNACK分组。

SYNACK 分组在确认收到SYN分组的同时发出一个初始的数据流序号给客户端。

分组4的确认号字段在Wireshark的协议框中显示1,并且在原始框中的值是“94 f2 2e bf”(比“94 f2 2e be”多1)。

这解释了TCP的确认模式。

TCP接收端确认第X个字节已经收到,并通过设置确认号为X+1来表明期望收到下一个字节号。

分组4的序号字段在Wireshark的协议显示为0,但在原始框中的实际值却是“84 ca be b3”。

网络协议 实验二wireshark_分析http

网络协议 实验二wireshark_分析http

选择向QQ邮箱传输200K大小文件1.题。

答:我的IP: TCP端口号:802.题。

答:3.题。

答:图中可以看到wireshark截获到了三次握手的三个数据包。

第四个包才是HTTP的,这说明HTTP的确是使用TCP建立连接的。

4.题。

答:如图所示:5.题。

答:6.题。

答:编号24:RTT编号25:RTT编号26:RTT编号27:RTT编号28:RTT7.题。

答:最先的六个TCP 片段的每一个长度分别为750 bytes、1408 bytes、1408 bytes、1408 bytes、1408 bytes、1408 bytes规律:一般的话只有第一个和最后一个片段长度特殊,其他片段等长。

8.题。

答:接受方通知给发送方的最低窗口大小为5840字节,即在服务器端传回的第一个ACKz 中的窗口大小。

接收方的窗口大小没有抑制发送方的传输速率,因为窗口大小从5840逐步增加到65535,窗口大小始终大于发送方发送的分组的容量。

9.题。

答:没有,从表中可以看出从源端发往目的地的序号逐渐增加,如果这其中有重传的报文段,则其序号中应该有小于其临近的分组序号的分组,图中未看到这样的分组,故没有重发片段。

12.题。

13.题。

答:TCP的发送方会试探性的发送数据(即慢启动阶段),如果太多的数据使网络拥塞了,那么发送方会根据AIMD算法进行调整。

但是在实际中,TCP的行为主要依赖于应用程序怎么设计。

在这次抓包中,在发送方还可以发送数据的时候,已经没有数据可发了。

在web 应用中,有些web对象比较小,在慢启动还没有结束之前,传送就结束啦,因此,传送小的web对象受到TCP慢启动阶段的影响,导致较长的延迟。

wireshark抓包分析2篇

wireshark抓包分析2篇

wireshark抓包分析2篇第一篇:Wireshark抓包分析HTTP协议Wireshark是一款网络分析工具,可用于抓取网络传输过程中的数据包,方便分析瓶颈和故障。

本文将以抓取HTTP协议为例,演示Wireshark的使用方法,并分析数据包内容。

1. 抓取HTTP协议数据包启动Wireshark,选择网络接口和捕获过滤器。

为了抓取HTTP协议的数据包,可以输入"tcp port 80"作为过滤器,表示只抓取端口为80的TCP数据包,即HTTP协议的数据包。

2. 分析HTTP协议数据包抓取到的HTTP协议数据包可通过Wireshark的命令行界面或图形界面进行分析,下面分别介绍。

(1) 命令行界面在Wireshark的命令行界面中,可以查看每个数据包的详细信息,并按需提取关键信息。

例如,输入"frame.number"命令可显示数据包编号,输入"ip.src"命令可显示源IP地址,输入"http.request.full_uri"命令可显示请求的URL地址等。

(2) 图形界面在Wireshark的图形界面中,可以以树形结构或表格形式查看每个数据包的详细信息。

在HTTP协议的数据包中,关键信息如下:- HTTP Request:包括请求方法(GET/POST等)、请求头、请求正文等。

- HTTP Response:包括状态码、响应头、响应正文等。

- 源IP地址和目的IP地址:代表客户端和服务器的IP 地址。

- 源端口号和目的端口号:代表客户端和服务器的TCP 端口号。

通过分析HTTP协议数据包,可以查看请求和响应信息,了解应用程序和服务器的交互过程。

也可以检查请求/响应是否存在异常,例如请求头或响应正文长度异常、响应状态码为4xx或5xx等。

本文仅介绍了抓取和分析HTTP协议数据包的基本方法,Wireshark还可以用于分析其他协议的数据包,例如TCP、DHCP、DNS等。

电子科大网络安全实验2Wireshark抓包分析实验完整分析

电子科大网络安全实验2Wireshark抓包分析实验完整分析

电⼦科⼤⽹络安全实验2Wireshark抓包分析实验完整分析实验2 Wireshark抓包分析实验⼀、实验原理TCP三次握⼿准则介绍TCP是因特⽹中的传输层协议,使⽤三次握⼿协议建⽴连接。

当主动⽅发出SYN连接请求后,等待对⽅回答SYN,ACK。

这种建⽴连接的⽅法可以防⽌产⽣错误的连接,TCP使⽤的流量控制协议是可变⼤⼩的滑动窗⼝协议。

第⼀次握⼿:建⽴连接时,客户端发送SYN包(SEQ=x)到服务器,并进⼊SYN_SEND状态,等待服务器确认。

第⼆次握⼿:服务器收到SYN包,必须确认客户的SYN(ACK=x+1),同时⾃⼰也送⼀个SYN包(SEQ=y),即SYN+ACK包,此时服务器进⼊SYN_RECV状态。

第三次握⼿:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ACK=y+1),此包发送完毕,客户端和服务器进⼊Established状态,完成三次握⼿。

HTTP协议介绍HTTP协议⽤于在Internet上发送和接收消息。

HTTP协议是⼀种请求-应答式的协议 ——客户端发送⼀个请求,服务器返回该请求的应答,所有的请求与应答都是HTTP包。

HTTP协议使⽤可靠的TCP 连接,默认端⼝是80。

HTTP的第⼀个版本是HTTP/0.9,后来发展到了HTTP/1.0,现在最新的版本是HTTP/1.1。

HTTP/1.1由RFC 2616 定义。

⼆、实验⽬的1、了解并会初步使⽤Wireshark,能在所⽤电脑上进⾏抓包。

2、了解IP数据包格式,能应⽤该软件分析数据包格式。

3、了解HTTP请求中的三次握⼿准则,并能利⽤该软件对该过程进⾏简要分析。

三、实验内容(1)安装wireshark软件,并使⽤该软件捕获HTTP请求中的报⽂,分析该过程中TCP建⽴连接的握⼿过程以及报头各字段的含义,记录实验结果和数据。

(2)尝试利⽤wireshark软件捕获Ping请求中的报⽂,并分析报⽂中各字段的含义,记录实验结果和数据。

Wireshark抓包分析TCP协议

Wireshark抓包分析TCP协议

Wireshark抓包分析TCP协议之前一直听别人说Wireshark这个抓包软件,Leelom也跟我提过说面试的时候会问这些东西。

今天呢,参考别人的博文,结合抓包,将TCP/IP协议进行一些浅显的分析。

1. HTTP协议基本特征更加具体的说明需要重新写一篇博客来看。

参考基础认知TCP(Transmission Control Protocol,传输控制协议)是面向连接的、可靠的、基于字节流的在传输层上的通信协议。

这里想一下UDP,是无连接的、不可靠的(所以就像之前提到的一样,无连接的快节省时间,不用连接建立的时间)。

TCP/IP の 4层模型数据包封装情况TCP/IP分层结构跟OSI(Open System Interconnection)分7层不同。

如上面的图中,TCP/IP 协议下分为4层:应用层、传输层、网络层、数据链路层。

•应用层:向用户提供常用的应用程序。

比如电子邮件、文件传输、远程登录等。

TELNET 会话提供了基于字符的虚拟终端,FTP使用 FTP协议来提供网络内机器间的文件拷贝功能。

•传输层:传输层提供两台主机之间端到端的通信。

所谓的TCP/UDP协议就是跑在这一层。

•网络层:处理分组在网络中的活动。

可以理解为IP路由这些。

•链路层:链路层负责处理下层物理层的物理接口细节。

主要目的有: \ 1. 为上层IP模块接收和发送IP数据报 \ 2. 为ARP模块发送请求和完成接收 \ 3.为RARP模块。

层级功能图封装封装这个事情就好像寄快递一样。

之前上计网课那个张洪涛就是这么举例子的。

报文封装注意上图中的 appl 首部是说 application 层首部的意思。

按照上图一层层封装,直到经过以太网封装之后,就要通过网线或者其他的传输介质将此封装好的报文发送到另一端去。

另一端收到之后再一层层的把封装头剥离,最终拿到用户数据。

这里我们要明白一点就是上层对下层不负责,下层对上层隐身。

TCP/IP这里可以做这样的一个理解,就是TCP/IP协议是说二者协同一起工作。

网络抓包分析实验报告(HTTP)

网络抓包分析实验报告(HTTP)

网络抓包分析实验报告一:实验目的:1.学习使用网络数据抓包软件Ethereal,对互连网进行数据抓包,巩固对所学知识的理解二:实验内容:1:分析http协议请求的响应过程。

2:分析TCP的处理过程,HTTP,TCp的报文格式。

三:实验工具Wireshark抓包软件四:实验步骤1、安装Wireshark,简单描述安装步骤。

2、打开wireshark,选择接口选项列表。

或单击“Capture”,配置“option”选项。

3、设置完成后,点击“start”开始抓包,显示结果。

4、选择某一行抓包结果,双击查看此数据包具体结构五:分析1:http请求报文分析(第8个包)请求行:方法字段:GET,版本是http/1.1.首部行:主机host:;Connection:Keep-Alive,即保持持久连接;Accept-language:zh-cn,即接收语言是中文。

2.http响应报文(第55个包)状态行:http/1.1 200 OK;请求成功。

首部行:响应Date:sat,21,Apr 2012 04:58:18 GMT;Content-Type:text/html 指示实体主体中的对象是text/html文本;Content-Length:35593 表明了被发送对象的字节数是35593个字节。

:3:TCP报文格式分析:报文格式:如截图可知:源端口号:80,目的端口号3968,序号:1,确认号:424,首部长度:20 bytes,Flags=0X10(URG=0,ACK=1,PSH=0,RST=0,SYN=0,FIN=0)接收窗口大小:65112;检验和:0x8a44。

4:TCP响应(3次握手)分析:1)服务器应用启动,进入LISTEN状态;2)客户端向服务器端发送一个TCP报文段,该段设置SYN标识,请求跟服务器端应用同步,之后进入SYN-SENT状态,等待服务器端的响应;(第5个包)3)服务器端应用收到客户端的SYN 段之后,发送一个TCP段响应客户端,该段设置SYN和ACK标识,告知客户端自己接受它的同步请求,同时请求跟客户端同步。

wireshark实验报告

wireshark实验报告

wireshark实验报告Wireshark实验报告Wireshark是一个非常强大的网络协议分析工具,它可以帮助我们监控和分析网络上的数据包,从而深入了解网络通信的细节。

在本次实验中,我们使用Wireshark来分析一个简单的网络通信场景,并进行一些实验来了解它的功能和用途。

实验一:捕获数据包首先,我们打开Wireshark并选择要监控的网络接口,然后开始捕获数据包。

在捕获过程中,我们可以看到不断出现的数据包,它们包含了网络通信中的各种信息,如源地址、目标地址、协议类型等。

通过Wireshark的过滤功能,我们可以只显示特定协议的数据包,从而更方便地进行分析。

实验二:分析HTTP通信接下来,我们模拟了一个简单的HTTP通信场景,比如在浏览器中访问一个网页。

通过Wireshark捕获到的数据包,我们可以看到HTTP请求和响应的细节,包括请求头、响应头、数据内容等。

通过分析这些数据包,我们可以了解HTTP 通信的工作原理,以及了解网页加载过程中的各种细节。

实验三:检测网络异常最后,我们模拟了一个网络异常的场景,比如断开网络连接或者遭遇网络攻击。

通过Wireshark捕获到的数据包,我们可以看到异常情况下的网络通信情况,从而及时发现问题并进行处理。

Wireshark的强大过滤功能可以帮助我们快速定位异常数据包,以便更快地解决网络问题。

通过以上实验,我们对Wireshark的功能和用途有了更深入的了解。

它不仅可以帮助我们监控网络通信,还可以帮助我们分析网络问题、学习网络协议等。

在今后的网络工作中,Wireshark将成为我们不可或缺的利器,帮助我们更好地理解和管理网络通信。

wireshark抓包分析实验报告

wireshark抓包分析实验报告

Wireshark抓包分析实验若惜年一、实验目的:1.学习安装使用wireshark软件,能在电脑上抓包。

2.对抓出包进行分析,分析得到的报文,并与学习到的知识相互印证。

二、实验内容:使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据,分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。

三、实验正文:IP报文分析:从图中可以看出:IP报文版本号为:IPV4首部长度为:20 bytes数据包长度为:40标识符:0xd74b标志:0x02比特偏移:0寿命:48上层协议:TCP首部校验和:0x5c12源IP地址为:目的IP为:从图中可以看出:源端口号:1891目的端口号:8000udp报文长度为:28检验和:0x58d7数据长度:20 bytesUDP协议是一种无需建立连接的协议,它的报文格式很简单。

当主机中的DNS 应用程序想要惊醒一次查询时,它构造一个DNS查询报文段并把它给UDP,不需要UDP之间握手,UDP为报文加上首部字段,将报文段交给网络层。

第一次握手:从图中看出:源端口号:56770目的端口号:80序列号为:0首部长为: 32 bytesSYN为1表示建立连接成功当fin为1时表示删除连接。

第二次握手:从图中看出:源端口号是:80目的端口号为:56770序列号为:0ack为:1Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。

第三次握手:从图中看出:源端口:56770目的端口:80序列号为:1ACK为:1首部长为:20bytesAcknowledgement为1表示包含确认的报文所以,看出来这是TCP连接成功了Tcp是因特网运输层的面向连接的可靠的运输协议,在一个应用进程可以开始向另一个应用进程发送数据前,这两个进程必须先握手,即它们必须相互发送预备文段,建立确保传输的参数。

发送报文:GET/HTTP/:是请求一个页面文件HOST:是请求的主机名Connection:持续连接Accept: 收到的文件User-Agent : 浏览器的类型Accept-encoding: gzip ,deflate ,sdch限制回应中可以接受的内容编码值,指示附加内容的解码方式为gzip ,deflate ,sdch 。

计算机网络实验-利用Wireshark分析协议HTTP

计算机网络实验-利用Wireshark分析协议HTTP

计算机⽹络实验-利⽤Wireshark分析协议HTTP实验1.2利⽤Wireshark分析协议HTTP⼀、实验⽬的分析HTTP协议⼆、实验环境与因特⽹连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。

三、实验步骤及实验报告要求1、利⽤Wireshark俘获HTTP分组(1)在进⾏跟踪之前,我们⾸先清空Web 浏览器的⾼速缓存来确保Web ⽹页是从⽹络中获取的,⽽不是从⾼速缓冲中取得的。

之后,还要在客户端清空DNS⾼速缓存,来确保Web服务器域名到IP地址的映射是从⽹络中请求。

在WindowsXP机器上,可在命令提⽰⾏输⼊ipconfig/flushdns(清除DNS解析程序缓存)完成操作。

(2)启动Wireshark 分组俘获器。

(3)在Web 浏览器中输⼊:/doc/7cec00d89fc3d5bbfd0a79563c1ec5da51e2d659.html /(4)停⽌分组俘获。

图1 利⽤Wireshark俘获的HTTP分组在URL /doc/7cec00d89fc3d5bbfd0a79563c1ec5da51e2d659.html /中,/doc/7cec00d89fc3d5bbfd0a79563c1ec5da51e2d659.html /是⼀个具体的web 服务器的域名。

最前⾯有两个DNS分组。

第⼀个分组是将域名/doc/7cec00d89fc3d5bbfd0a79563c1ec5da51e2d659.html /转换成为对应的IP 地址的请求,第⼆个分组包含了转换的结果。

这个转换是必要的,因为⽹络层协议——IP协议,是通过点分⼗进制来表⽰因特⽹主机的,⽽不是通过/doc/7cec00d89fc3d5bbfd0a79563c1ec5da51e2d659.html /这样的域名。

当输⼊URL 时,将要求Web服务器从主机/doc/7cec00d89fc3d5bbfd0a79563c1ec5da51e2d659.html /上请求数据,但⾸先Web 浏览器必须确定这个主机的IP地址。

利用wireshark分析HTTP协议实验报告

利用wireshark分析HTTP协议实验报告

利用wireshark分析HTTP协议实验报告实验目的:通过利用Wireshark分析HTTP协议,实验理解HTTP协议的工作原理和常见的HTTP请求和响应消息的格式,并学会利用Wireshark工具进行网络流量分析和调试。

实验步骤:1.实验环境准备:b. 打开Wireshark工具,并选择适当的网络接口开始抓包。

2.抓取HTTP协议数据包:a. 在Wireshark工具中点击“开始”按钮,开始抓包。

c. 在Wireshark工具中停止抓包。

3.分析HTTP消息:a. 在Wireshark工具中选择一个HTTP数据包,并展开协议分析窗口。

b.分析HTTP请求消息的格式,包括请求方法、URL、HTTP版本、请求头和请求体等。

c.分析HTTP响应消息的格式,包括状态码、状态描述、响应头和响应体等。

4.进行HTTP会话分析:a. 在Wireshark工具中选择一个HTTP请求数据包,并右击菜单选择“Follow TCP Stream”选项。

b.分析TCP流的数据包,包括请求和响应的传输数据等。

5.进行HTTP分片分析:a. 在Wireshark工具中选择一个HTTP数据包,并展开协议分析窗口。

b.分析数据包的分片情况,包括分片的数量和分片的大小等。

6.进行HTTP身份认证分析:a. 在Wireshark工具中选择一个HTTPS数据包,并展开协议分析窗口。

b.分析HTTPS数据包的SSL/TLS握手过程和加密信息等。

实验结果:通过对Wireshark抓包和分析,我们可以得到一个完整的HTTP会话过程。

通过分析HTTP请求和响应消息的格式,可以了解到HTTP协议的工作原理和常见的消息头信息。

通过分析TCP流的数据包,可以了解到HTTP数据的传输情况和时序关系。

通过分析HTTP的分片情况,可以了解到HTTP数据在传输过程中可能发生的分片现象。

通过分析HTTPS数据包,可以了解到HTTPS协议的加密过程和身份认证机制。

完整利用wireshark分析HTTP协议

完整利用wireshark分析HTTP协议

完整利用wireshark分析HTTP协议HTTP协议是超文本传输协议的缩写。

它是一种应用层协议,用于在Web浏览器和Web服务器之间传输数据。

Wireshark是一个用于网络分析和协议开发的免费开源程序,它可以用来捕获和分析网络数据包。

在使用Wireshark分析HTTP协议时,我们可以通过以下步骤来进行:1. 启动Wireshark并选择要捕获的网卡。

在Wireshark的主界面上,可以选择“Capture”选项卡来选择网卡。

点击“Start”按钮来开始捕获数据包。

3. 分析捕获的HTTP数据包。

Wireshark将以表格的形式显示捕获的数据包,其中列出了源IP地址、目的IP地址、协议类型等信息。

我们可以查看数据包的详细信息,包括源端口、目的端口、传输层协议等。

4.分析HTTP请求。

选择一个HTTP请求的数据包,点击“+]”按钮来展开其详细信息。

在详细信息中,可以查看请求的方法(GET、POST等)、请求的URL、请求的头部信息等。

5.分析HTTP响应。

选择一个HTTP响应的数据包,点击“+]”按钮来展开其详细信息。

在详细信息中,可以查看响应的状态码、响应的头部信息以及响应的正文内容。

6. 进一步分析HTTP请求和响应的头部信息。

HTTP请求和响应的头部信息包含了很多有用的信息。

例如,可以通过查看“Content-Type”来确定返回的数据类型是HTML、CSS、JavaScript还是其他类型的文件。

可以查看“Cookie”来查看是否存在会话信息。

还可以查看其他头部信息,如“User-Agent”来确定浏览器和操作系统的类型。

7. 查看HTTP的传输过程。

Wireshark可以以图形化的方式显示HTTP请求和响应的传输过程。

在摘要视图中,选择一个HTTP请求或响应,右键单击并选择“Follow”>“HTTP Stream”,可以查看完整的HTTP报文的传输过程。

8. 分析HTTP压缩。

5.利用Wireshark抓包分析TCP报文

5.利用Wireshark抓包分析TCP报文

利用Wireshark抓包分析TCP报文
一、实验目的
通过利用Wireshark抓包分析TCP报文,理解TCP报文的封装格式.
二、实验环境
与因特网连接的计算机网络系统;主机操作系统为windows;使用Wireshark、IE等软件。

三、实验原理
1、wireshark是非常流行的网络封包分析软件,功能十分强大。

可以截取各种网络封包,显示网络封包的详细信息。

2、TCP则提供面向连接的服务。

在传送数据之前必须先建立连接,数据传送结束后要释放连接。

TCP的首部格式为:
四、实验内容
1.安装Wireshark。

2.利用wireshark抓获TCP数据包。

3.分析TCP数据包首部各字段的具体内容。

四、实验步骤
在实验的基础上,自己完成实验各步骤:
1.
2.
3.
4.
……
四、遇到的问题和解决方法
五、实验总结。

wireshark抓包分析实验报告

wireshark抓包分析实验报告

wireshark抓包分析实验报告Wireshark抓包分析实验报告引言:网络是现代社会不可或缺的一部分,它连接了世界各地的计算机和设备。

为了确保网络的正常运行和安全,网络分析工具是必不可少的。

Wireshark作为一款开源的网络抓包分析工具,具有强大的功能和广泛的应用范围。

本实验旨在通过使用Wireshark来抓包并分析网络数据,以深入了解网络通信的细节和原理。

实验目的:1. 了解Wireshark的基本原理和使用方法;2. 掌握抓包和分析网络数据的技巧;3. 分析网络数据包的结构和内容。

实验步骤:1. 下载和安装Wireshark软件;2. 打开Wireshark,选择要进行抓包的网络接口;3. 开始抓包,并进行需要的过滤设置;4. 分析抓到的数据包,包括查看源地址、目标地址、协议类型等信息;5. 进一步分析数据包的内容,如查看HTTP请求和响应的头部信息、查看传输层协议的数据等;6. 结束抓包并保存数据。

实验结果与分析:通过使用Wireshark进行抓包和分析,我们可以获得大量有关网络通信的信息。

以下是一些实验结果和分析:1. 数据包的源地址和目标地址:通过查看数据包的源地址和目标地址,我们可以确定通信的两端设备和它们之间的关系。

这对于网络故障排除和安全分析非常重要。

2. 协议类型:Wireshark可以自动识别和解析各种协议,包括TCP、UDP、HTTP、FTP等。

通过查看数据包的协议类型,我们可以了解网络通信所使用的协议,并进一步分析其特点和性能。

3. HTTP请求和响应:Wireshark可以解析HTTP协议,并显示请求和响应的详细信息。

通过查看HTTP请求和响应的头部信息,我们可以了解到客户端和服务器之间的通信内容,如请求的URL、请求方法、响应状态码等。

4. 传输层协议的数据:Wireshark可以显示传输层协议的数据,如TCP和UDP的数据。

通过查看传输层协议的数据,我们可以了解到数据包的具体内容,如传输的文本、文件等。

实验 利用wireshark对IP协议分析

实验 利用wireshark对IP协议分析
(4)等待,直到“ipconfig /renew”终止。然后再次输入“ipconfig /renew”命令。
(5)当第二个命令“ipconfig /renew”终止时,输入命令“ipconfig /release”释放原来的已经分配的IP地址
1)分析该IP协议的报文格式,完成下表
表IP协议
字段

20bytes
服务类型
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
总长度
Total Length: 359
标识
Identification: 0x0eb3 (3763)
实验
一、实验目的
理解IP协议报文类型和格式,掌握IP V4地址的编址方法。
1、使用DHCP获取IP地址
(1)打开命令窗口,启动Wireshark。
(2)输入“ipconfig /release”。这条命令会释放主机目前的IP地址,此时,主机IP地址会变为0.0.0.0
(3)然后输入“ipconfig /renew”命令。这条命令让主机获得一个网络配置,包括新的IP地址。
标志
Flags: 0x00
片偏移
Fragment offset: 0
生存周期
Time to live: 64
协议
Protocol: UDP (17)
校验和
Header checksum: 0x6ad4 [correct]
源地址
Source: 0.0.0.0 (0.0.0.0)
目的地址
Destination: 255.255.255.255 (255.255.255.255)

计算机网络实验-使用Wireshark分析IP协议

计算机网络实验-使用Wireshark分析IP协议

实验三使用Wireshark分析IP协议一、实验目的1、分析IP协议2、分析IP数据报分片二、实验环境与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。

三、实验步骤IP协议是因特网上的中枢。

它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。

因特网的每台主机都有IP地址。

数据被称作数据报的分组形式从一台主机发送到另一台。

每个数据报标有源IP地址和目的IP地址,然后被发送到网络中。

如果源主机和目的主机不在同一个网络中,那么一个被称为路由器的中间机器将接收被传送的数据报,并且将其发送到距离目的端最近的下一个路由器。

这个过程就是分组交换。

IP允许数据报从源端途经不同的网络到达目的端。

每个网络有它自己的规则和协定。

IP能够使数据报适应于其途径的每个网络。

例如,每个网络规定的最大传输单元各有不同。

IP允许将数据报分片并在目的端重组来满足不同网络的规定。

表1.1 DHCP报文图3.1 DHCP报文1、使用DHCP获取IP地址(1)打开命令窗口,启动Wireshark。

(2)输入“ipconfig /release”。

这条命令会释放主机目前的IP地址,此时,主机IP地址会变为0.0.0.0(3)然后输入“ipconfig /renew”命令。

这条命令让主机获得一个网络配置,包括新的IP地址。

(4)等待,直到“ipconfig /renew”终止。

然后再次输入“ipconfig/renew”命令。

(5)当第二个命令“ipconfig /renew”终止时,输入命令“ipconfig /release”释放原来的已经分配的IP地址(6)停止分组俘获。

如图3.2所示:图3.2 Wireshark俘获的分组下面,我们对此分组进行分析:IPconfig 命令被用于显示机器的IP地址及修改IP地址的配置。

当输入命ipconfig /release命令时,用来释放机器的当前IP地址。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

计算机学院网络工程2012(1)班学号:3112006354 姓名:詹德超实训二用WireShark分析IP、TCP、HTTP
一、实验目的
1.分析HTTP协议报文的首部格式,理解HTTP协议的工作过程。

2.用Wireshark 捕获和分析HTTP 报文。

二、实验设备
1.接入Internet的计算机主机;
2.抓包工具WireShark。

三、实验内容
1.HTTP 协议简介
HTTP 是超文本传输协议(Hyper Text Transfer Protocol)的缩写,用于WWW 服务。

(1)HTTP 的工作原理
HTTP 是一个面向事务的客户服务器协议。

尽管HTTP 使用TCP 作为底层传输协议,但HTTP协议是无状态的。

也就是说,每个事务都是独立地进行处理。

当一个事务开始时,就在万维网客户和服务器之间建立一个TCP 连接,而当事务结束时就释放这个连接。

此外,客户可以使用多个端口和服务器(80 端口)之间建立多个连接。

其工作过程包括以下几个阶段。

①服务器监听TCP 端口 80,以便发现是否有浏览器(客户进程)向它发出连接请求;
②一旦监听到连接请求,立即建立连接。

③浏览器向服务器发出浏览某个页面的请求,服务器接着返回所请求的页面作为响应。

④释放TCP 连接。

在浏览器和服务器之间的请求和响应的交互,必须遵循HTTP 规定的格式和规则。

当用户在浏览器的地址栏输入要访问的HTTP 服务器地址时,浏览器和被访问HTTP 服务器的工作过程如下:
①浏览器分析待访问页面的URL 并向本地DNS 服务器请求IP 地解析;
② DNS 服务器解析出该HTTP 服务器的IP 地址并将IP 地址返回给浏览器;
③浏览器与HTTP 服务器建立TCP 连接,若连接成功,则进入下一步;
④浏览器向HTTP 服务器发出请求报文(含GET 信息),请求访问服务器的指定页面;
⑤服务器作出响应,将浏览器要访问的页面发送给浏览器,在页面传输过程中,浏览器会打开多个端口,与服务器建立多个连接;
⑥释放TCP 连接;
⑦浏览器收到页面并显示给用户。

(2)HTTP 报文格式
HTTP 有两类报文:从客户到服务器的请求报文和从服务器到客户的响应报文。

图1显示了两种报文的结构。

图1 HTTP 的请求报文和响应报文结构
在图 1中,每个字段之间有空格分隔,每行的行尾有回车换行符。

各字段的意义如下:
①请求行由三个字段组成:
* 方法字段,最常用的方法为“GET”,表示请求读取一个万维网的页面。

常用的方法还有“HEAD(指读取页面的首部)”和“POST(请求接受所附加的信息);
* URL 字段为主机上的文件名,这时因为在建立TCP 连接时已经有了主机名;
* 版本字段说明所使用的HTTP 协议的版本,一般为“HTTP/1.1”。

②状态行也有三个字段:
* 第一个字段等同请求行的第三字段;
* 第二个字段一般为“200”,表示一切正常,状态码共有41 种,常用的有:301 (网站已转移),400(服务器无法理解请求报文),404(服务器没有锁请求的对象)等;
* 第三个字段时解释状态码的短语。

③根据具体情况,首部行的行数是可变的。

请求首部有Accept 字段,其值表示浏览器可以接受何种类型的媒体;Accept-language,其值表示浏览器使用的语言;User-agent 表明可用的浏览器类型。

响应首部中有Date、Server、Content-Type、Content-Length 等字段。

在请求首部和响应首部中都有 Connection 字段,其值为Keep-Alive 或 Close,表示服务器在传送完所请求的对象后是保持连接或关闭连接。

④若请求报文中使用“GET”方法,首部行后面没有实体主体,当使用“POST”方法是,附加的信息被填写在实体主体部分。

在响应报文中,实体主体部分为服务器发送给客户的对象。

图2 和图3 显示了Wireshark 捕获的HTTP 请求和响应报文,结合上面的介绍,请自己分析和体会。

图2 HTTP 请求报文示例
图3 HTTP 响应报文示例
2.实验环境与说明
(1)实验目的
在PC 机上访问Web 页面,截获报文,分析HTTP 协议的报文格式和HTTP协议的工作过程。

(2)实验设备和连接
本地实验室环境,无须设备连接;
注意:请通过访问可以连接的WWW 站点或使用IIS 建立本地WWW 服务器来进行实验。

3.实验步骤
实验1、简单网页捕获与分析。

步骤1:在PC 机上运行Wireshark,开始截获报文;
步骤2:打开浏览器,清空浏览器的缓存。

从浏览器上访问下列URL地址。

打开网页,待浏览器的状态栏出现“完毕”信息后关闭网页。

/CurrQstats.txt
浏览器中将显示一个只有一行或多行文字的非常简单的HTML文件。

步骤3:停止截获报文,将截获的报文命名为test1保存。

分析截获的报文,回答以下几个问题:
(1)综合分析截获的报文,查看有几种HTTP 报文?
答:有两类报文:从客户到服务器的请求报文和从服务器到客户的响应报文。

(2)在截获的HTTP 报文中,任选一个HTTP 请求报文和对应的 HTTP 应答报文,仔细分析它们的格式,填写表1和表2。

从应用层分析报文格式
表2 HTTP 应答报文格式
(3)分析在截获的报文中,客户机与服务器建立了几个连接?服务器和客户机分别使用了哪几个端口号?
客户机:3505 服务器:80
(4)综合分析截获的报文,理解HTTP 协议的工作过程,将结果填入表3 中。

表3 HTTP 协议工作过程
(4)分析此次页面获取过程中建立了几次TCP链接,此链接是否释放了。

答:并没有释放连接;没有发送FIN报文。

实验2、超媒体页面捕获与分析
(1)启动浏览器,将浏览器的缓存清空。

(2)启动WireShark分组俘获器。

开始WireShark分组俘获。

(3)在浏览器的地址栏中输入某个地址,(需要满足该地址下的网页是包含多个内嵌对象即可)。

(4)停止WireShark分组俘获,将捕获结果保存为test2
(5)重新启动Web browser。

启动WireShark分组俘获器,进行分组捕获。

在Web browser 当中重新输入相同的URL或单击浏览器中的“刷新”按钮。

(6)步骤同(5)。

将捕获结果保存为test3。

根据操作回答下面的问题。

(1)填写浏览器的输入的URL地址。

在命令行输入ipconfig/flushdns完成操作
URL地址:
(2)分析test2的捕获文件,你的浏览器一共发出了多少个HTTP GET请求,每个GET 请求的对象是什么?这些请求被发送到的目的地的IP地址是多少?
(3)分析你的浏览器向服务器发出的第一个HTTP GET请求的内容,在该请求报文中,是否有一行是:IF-MODIFIED-SINCE?分析服务器响应报文的内容,服务器是否明确返回了文件的内容?如何获知?
If-Modified-Since是标准的HTTP请求头标签,在发送HTTP请求时,把浏览器端缓存页面的最后修改时间一起发到服务器去,服务器会把这个时间与服务器上实际文件的最后修改时间进行比较。

如果时间一致,那么返回HTTP状态码304(不返回文件内容),客户端接到之后,就直接把本地缓存文件显示到浏览器中。

如果时间不一致,就返回HTTP状态码200和新的文件内容,客户端接到之后,会丢弃旧文件,把新文件缓存起来,并显示到浏览器中。

(4)分析捕获文件test3分析你的浏览器向服务器发出的第二个“HTTP GET”请求,在该请求报文中是否有一行是:IF-MODIFIED-SINCE?如果有,在该首部行后面跟着的信息是什么?
没有,是最新的缓存,服务器回应304
(5)服务器对第二个HTTP GET请求的响应中的HTTP状态代码是多少?服务器是否明确返回了文件的内容?请解释。

如果不是最新,服务器将返回200,并发送最新内容。

实验3、观察在HTTP/1.0和HTTP/1.1下的TCP连接的建立与释放过程(何时、由谁启动)
HTTP/1.0协议使用非持久连接,即在非持久连接下,一个tcp连接只传输一个Web对象,;
HTTP/1.1默认使用持久连接(然而,HTTP/1.1协议的客户机和服务器可以配置成使用非持久连接)
在持久连接下,不必为每个Web对象的传送建立一个新的连接,一个连接中可以传输多
个对象。

相关文档
最新文档