wireshark抓包分析 - 360文档中心

合集下载

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

用wireshark分析Http 和Dns 报文

一、http请求报文和响应报文

wireshark所抓的一个含有http请求报文的帧：

1、帧的解释

链路层的信息上是以帧的形式进行传输的，帧封装了应用层、传输层、网络层的数据。而wireshark抓到的就是链

路层的一帧。

图中解释：

Frame 18：所抓帧的序号是11，大小是409字节

Ethernet ：以太网，有线局域网技术，属链路层

Inernet Protocol：即IP协议，也称网际协议，属网络层

Transmisson Control Protocol：即TCP协议，也称传输控

制协议。属传输层

Hypertext transfer protocol：即http协议，也称超文本传

输协议。属应用层

图形下面的数据是对上面数据的16进制表示。

2、分析上图中的http请求报文

报文分析：

请求行：

GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本

我们发现，报文里有对请求行字段的相关解释。该报文请求的是一个对象，该对象是图像。

首部行：

Accept: */*

Referer: /这是网站网址

Accept-Language: zh-cn 语言中文

Accept-Encoding: gzip, deflate 可接受编码，文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)

用户代理，浏览器的类型是Netscape浏览器；括号内

是相关解释

Host: 目标所在的主机

Connection: Keep-Alive 激活连接

在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名，比如下面http请求报文中橙黄色首部字段名：

Accept: */*

Referer: /thread-345413-1-1.html这是html文件网址Accept-Language: zh-cn 语言中文

Accept-Encoding: gzip, deflate 可接受编码，文件格式If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT 内容是否被修改：最后

一次修改时间

If-None-Match: "9a4041-197-2f11e280" 关于资源的任何属性

（ET ags值）在ETags的值中可以体现，是否改变

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)

用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释

Host: 目标所在的主机

Connection: Keep-Alive 激活连接

Cookie: cdb_sid=0Ocz4H; cdb_oldtopics=D345413D; cdb_visitedfid=17; __gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY 24VDbjc1A

cookie，允许站点跟踪用户，coolie ID是7ab350574834b14b

3、分析http的响应报文，针对上面请求报文的响应报文如下：

wireshark对于2中http请求报文的响应报文：

展开http响应报文：

报文分析：

状态行：

HTTP/1.0 200 OK

首部行：

Content-Length: 159 内容长度

Accept-Ranges: bytes 接受范围

Server: nginx 服务器

X-Cache: MISS from 经过了缓存服

务器

Via::80(squid/2.6.STABLE14-20070808) 路由响应信息Date: Fri, 22 Oct 2010 12:09:42 GMT 响应信息创建的时间

Content-Type: image/gif 内容类型图像

Expires: Fri, 22 Oct 2010 12:10:19 GMT 设置内容过期时间

Last-Modified: Fri, 11 Jun 2010 00:50:48 GMT 内容最后

一次修改时间Powered-By-ChinaCache:PENDING from CNC-BJ-D-3BA ChinaCache的是一家领先的内容分发网络（CDN）在中国的服务提供商。

Age: 34 缓存有效34天

Powered-By-ChinaCache: HIT from USA-SJ-1-3D3 ChinaCache是一家领先的内容分发网络（CDN）在中国的服务提供商。Connection: keep-alive 保持TCP连接

图中最后一行compuserve GIF 是对所传图像的信息的描述GIF是compuserve公司开发的图像格式标准。

二、DNS查询报文和回答报文

1、Wireshark所抓的DNS查询报文：

该查询报文是查询的IP地址，使用的传输层协议是UDP协议。

展开DNS查询报文：