实验7 利用分组嗅探器(Wireshark)分析协议HTTP和DNS

《计算机网络与通信原理》课程实验报告Wireshark和其它的图形化嗅探器使用基本类似的界面，整个窗口被分成三个部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。

（2）Wireshark的显示过滤器显示过滤器可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找感兴趣的数据包。

注意：捕获过滤器（Capture Filters）和显示过滤器（Display Filters）的语法规则是不同的。

值比较表达式可以使用下面的操作符来构造：●eq ==，如ip.addr==10.1.10.20●ne !=，如ip.addr!=10.1.10.20●gt >，如frame.pkt_len>10●lt <，如frame.pkt_len<10●ge >=，如frame.pkt_len>=10●le <=，如frame.pkt_len<=10可以使用下面的逻辑操作符将表达式组合起来：●and &&逻辑与，如ip.addr=10.1.10.20 && tcp.flag.fin●or || 逻辑或，如ip.addr=10.1.10.20||ip.addr=10.1.10.21●not ! 逻辑非，如!llc例如：IP 地址是192.168.2.10 的主机，它所接收收或发送的所有的HTTP 报文，那么合适的Filter（过滤器）就是：ip.addr == 192.168.2.10 && http。

提示：Filter的背景显示出表达式的合法与否，绿色为合法，红色为否。

（3）菜单Capture的Options说明Interface:选择采集数据包的网卡IP address:选择的网卡所对应的IP地址Link-layer header type:数据链路层的协议，在以太网中一般是Ethernet IIBuffer size:数据缓存大小设定，默认是1M字节。

实验六利用W i r e s h a r k 分析协议H T T P文件编码（GHTU-UITID-GGBKT-POIU-WUUI-8968）实验六利用W i r e s h a r k分析协议H T T P 一、实验目的分析HTTP协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤1、利用Wireshark俘获HTTP分组（1）在进行跟踪之前，我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的，而不是从高速缓冲中取得的。

之后，还要在客户端清空DNS高速缓存，来确保Web服务器域名到IP地址的映射是从网络中请求。

在WindowsXP机器上，可在命令提示行输入ipconfig/flushdns(清除DNS解析程序缓存)完成操作。

（2）启动Wireshark 分组俘获器。

（3）在Web 浏览器中输入：（4）停止分组俘获。

图利用Wireshark俘获的HTTP分组在URL 中，是一个具体的web 服务器的域名。

最前面有两个DNS 分组。

第一个分组是将域名转换成为对应的IP 地址的请求，第二个分组包含了转换的结果。

这个转换是必要的，因为网络层协议——IP协议，是通过点分十进制来表示因特网主机的，而不是通过这样的域名。

当输入URL http：//时，将要求Web服务器从主机上请求数据，但首先Web 浏览器必须确定这个主机的IP地址。

随着转换的完成，Web浏览器与Web服务器建立一个TCP连接。

最后，Web 浏览器使用已建立好的TCP连接来发送请求“GET/HTTP/1.1”。

这个分组描述了要求的行为（“GET”）及文件（只写“/”是因为我们没有指定额外的文件名），还有所用到的协议的版本（“HTTP/1.1”）。

2、HTTP GET/response交互（1）在协议框中，选择“GET/HTTP/1.1” 所在的分组会看到这个基本请求行后跟随着一系列额外的请求首部。

实验七利用Wireshark分析DNS协议一、实验目的分析DNS协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤nslookup工具允许运行该工具的主机向指定的DNS服务器查询某个DNS记录。

如果没有指明DNS服务器，nslookup将把查询请求发向默认的DNS服务器。

其命令的一般格式是：nslookup –option1 –option2 host-to-find dns-server1、打开命令提示符（Command Prompt），输入nslookup命令。

图中显示三条命令，第一条命令： “提出一个问题”即：“将主机的IP地址告诉我”。

屏幕上出现了两条信息：（1）“回答这一问题”DNS服务器的名字和IP地址；（2）主机名字和IP 地址。

第二条命令：nslookup –type=NS 在这个例子中，我们提供了选项“-type=NS”，域为。

执行这条命令后，屏幕上显示了DNS服务器的名字和地址。

接着下面是三个USST DNS服务器，每一个服务器是USST校园里缺省的DNS服务器。

第三条命令：nslookup 在这个例子中，我们请求返回 DNS server 而不是默认的DNS 服务器()。

此例中，DNS 服务器提供主机的IP地址。

2、ipconfigipconfig用来显示TCP/IP 信息, 你的主机地址、DNS服务器地址，适配器等信息。

如果你想看到所有关于你所在主机的信息，可在命令行键入：ipconfig /allipconfig在管理主机所储存的DNS信息非常有用。

如果查看DNS缓存中的记录用命令：ipconfig /displaydns要清空DNS缓存，用命令：ipconfig /flushdns3、利用Wireshark捕获DNS信息（1）利用ipconfig命令清空你的主机上的DNS缓存。

（2）启动浏览器，将浏览器的缓存清空。

《计算机网络》实验报告实验六DNS、HTTP协议分析姓名：XXX学号：XXXXXXXX专业：XXXXXXXXX学院：XXXXXX报告日期：XXXXX(一) 实验目的与要求目的：(1)分析DNS协议；(2)分析HTTP协议。

(二) 实验内容1.分析DNS协议：(1) 在命令行执行ipconfig /displaydns，查看本机的DNS缓存记录。

(2) 执行ipconfig /flushdns，再执行ipconfig /displaydns，查看本机的DNS缓存中是否还有记录？(3) 运行WireShark软件，并设置显示过滤条件为“dns”，ping ，执行ipconfig /displaydns，查看本机的DNS缓存中是否有了的对应记录，同时在WireShark中找到对应的DNS请求和响应报文，并填写下表。

字段项DNS查询报文DNS应答报文IP层Source地址IP层Destination地址运输层协议运输层Source Port运输层Destination PortDNS查询域名/ 应答结果(4) 用记事本（Notepad）打开本机C:\WINDOWS\system32\drivers\etc目录下一个名为hosts的文件，增加一条记录：145.6.7.8 ，在命令行执行ipconfig /displaydns，查看本机的DNS缓存中是否多了一条的记录？再ping ，观察执行结果。

(5) 在命令行执行nslookup命令，在交互的方式下输入，观察查询的结果。

输入exit退出查询。

(6) 在命令行执行ipconfig / flushdns清空DNS缓存，并修改本机的TCP/IP属性，清除DNS设置。

在IE浏览器中输入，看能否正常访问？2.分析HTTP协议：(1) 恢复本机的DNS设置为210.45.176.5，运行WireShark软件，并设置显示过滤条件为“http”，在IE浏览器中打开，在WireShark中找到一对HTTP请求和响应报文，并填写下表。

竭诚为您提供优质文档/双击可除dns协议与抓包分析篇一：dns协议与抓包分析1.dns全称为domainnamesystem，中文为计算机域名系统，它是由解析器和域名服务器组成的，域名服务器是指保存有该网络中所有主机的域名和对应ip地址，并具有将域名转换为ip地址，并具有将域名转换为ip地址功能的服务器的服务器。

其中域名必须对应一个ip地址，而ip地址不一定有域名。

将域名映射为ip地址的过程就称为“域名解析”。

在internet上域名与ip地址之间是一对一（或者多对一）的，域名和ip地址之间的转换过程称为域名解析，域名解析需要由专门的域名解析服务器来完成，dns就是进行域名解析的服务器。

dns 命名用于internet等tcp/ip网络中，通过用户友好的名称查找计算机和服务。

域名的最终指向是ip2.dns解析过程（1）当客户机提出查询请求时，首先在本地计算机的缓存中查找，如果在本地无法查询信息，则将查询请求发给dns服务器（2）首先客户机将域名查询请求发送到本地dns服务器，当本地dns服务器接到查询后，首先在该服务器管理的区域的记录中查找，如果找到该记录，则进行此记录进行解析，如果没有区域信息可以满足查询要求，服务器在本地缓存中查找（3）如果本地服务器不能在本地找到客户机查询的信息，将客户机请求发送到根域名dns服务器（4）根域名服务器负责解析客户机请求的根域名部分，它将包含下一级域名信息的dns服务器地址地址返回给客户机的dns服务器地址（5）客户机的dns服务器利用根域名服务器解析的地址访问下一级dns服务器，得到再下一级域名的dns服务器地址（6）按照上述递归方法逐级接近查询目标，最后在有目标域名的dns服务器上找到相应ip地址信息（7）客户机的本地dns服务器将递归查询结构返回客户机（8）客户机利用从本地dns服务器查询得到的ip访问目标主机，就完成了一个解析过程（9）同时客户机本地dns服务器更新其缓存表，客户机也更新期缓存表，方便以后查询3.dns处于ip分层结构的应用层，是一种应用层协议，dns协议数据单元封装在udp数据报文中，dns服务器端使用公用端口号为53（使用udp协议0x11）4.dns协议报文结构：该报文是由12字节的首部和4个长度可变的字节组成标识字段：占用两个字节，由客户程序设置，并由服务器返回结果opcode：4bits字段，通常值为0（标准查询），其他值为1（反向查询）和2（服务器状态请求）aa：1bits标志表示授权回答（authoritiveanswer）,该名字服务器是授权于该领域的tc：1bits字段，表示可截（truncated），使用udp时，它表示当应答的总长度超过512字节时，只返回前512个字节Rd：1bits字段，表示期望递归，该比特能在一个查询中设置，并在一个响应中返回，这个标志告诉名字服务器必须处理这个查询，也称为一个递归查询，如果该位为0，且被请求的名字服务器没有一个授权回答，它就返回一个能解答该查询的其他名字服务器列表，这称为迭代查询（期望递归）Ra：1bits字段，表示可用递归，如果名字服务器支持递归查询，则在响应中将该bit置为1（可用递归）zero：必须为0rcode：是一个4bit的返回码字段，通常值为0（没有差错）和3（名字差错），名字差错只有从一个授权名字服务器上返回，它表示在查询中指定的域名不存在随后的4个bit字段说明最后4个变长字段中包含的条目数，对于查询报文，问题数通常是1，其他三项为0，类似的，对于应答报文，回答数至少是1，剩余两项可以使0或非05.dns查询报文中每个查询问题的格式查询类：通常值为1，表示是互联网的地址，也就是ip 协议族的地址查询类型：有很多种查询类型，一般最常用的查询类型是a类型（表示查找域名对应的ip地址）和ptR类型（表示查找ip地址对应的域名）查询名为要查找的名字，它由一个或者多个标示符序列组成，每个标示符已首字符字节数的计数值来说明该表示符长度，每个名字以0结束，计数字节数必须是0~63之间，该字段无需填充字节，如：6.dns响应报文中的资源记录格式：域名：记录中资源数据对应的名字，它的格式和查询名字段格式相同类型：类型说明RR的类型码，类通常为1，指internet 数据生存时间：客户程序保存该资源记录的秒数资源数据长度：说明后面资源数据的数量，该数据的格式依赖于类型字段的值，对于类1（a记录）记录数据室4字节的ip地址资源数据：服务器端返回给客户端的记录数据7.数据包dns查询（dnsquery）8.数据包dns响应（dnsResponse）9.aRpa域的作用：10.根据in-arpa.arpa，我们可以根据ip地址解析对应的域名，在dns的服务器中，将要解析的点分十进制的ip地址反过来写，然后将该域名根在这个反写的ip地址的后面就形成了一个反向查询域，然后客户端就可以根据该ip地址来解析对应的域名了11.ddns（即所谓的动态dns）工作原理：（1）client端每次开机或者是重新拨号后，获取一个新的ip之后，会向dnsserver端提出ip和域名更新要求，希望server端变更域名与ip的对应关系（2）server端接受client端要求之后，会去查询client 提供的账号密码是否正确，正确之后会立即修改server本身对于你的主机名称的设定值12.篇二：利用wireshark分析dns协议实验七利用wireshark分析dns协议一、实验目的分析dns协议二、实验环境与因特网连接的计算机，操作系统为windows，安装有wireshark、ie等软件。

计算机网络与通信实验报告（五）学号姓名班级日期实验内容利用分组嗅探器分析数据链路层协议实验目的了解数据链路层协议构造实验预备知识实验过程描述俘获并分析以太网帧(1)清空浏览器缓存（在IE窗口中，选择“工具/Internet选项/删除文件”命令）。

(2)启动Ethereal，开始分组俘获。

(3)地址栏中输入/ethereal-labs/HTTP-ethereal-file3.html(4)停止分组俘获。

首先，找到你的主机向服务器发送的HTTP GET报文的分组序号，以及服务器发送到你主机上的HTTP 响应报文的序号。

选择“Analyze->Enabled Protocols”，取消对IP复选框的选择，单击OK。

(5)选择包含HTTP GET报文的以太网帧，在分组详细信息窗口中，展开Ethernet II信息部分。

(6)选择包含HTTPARP分析(1)利用MS-DOS命令：arp 或 c:\windows\system32\arp查看主机上ARP缓存的内容。

(2)利用MS-DOS命令：arp-d * 清除主机上ARP缓存的内容。

(3)清除浏览器缓存。

(4)启动Ethereal，开始分组俘获。

(5)在浏览器的地址栏中输入：/ethereal-labs/ HTTP-ethereal-lab-file3.html(6)停止分组俘获。

选择“Analyze->Enabled Protocols”，取消IP选择，单击OK.实验结果回答问题:(1)你的主机的48位以太网地址是多少？答:00 24 7e 05 20 29(2)是服务器的地址吗？如不是，该地址是什么设备的以太网地址？不是.是路由器的(3)给出两种帧类型字段的十六进制值。

标志字段的值是1的含义是什么？Type 字段的值是0x0800，代表IP协议(4)在包含“get”以太网帧中，从该帧的起始处开始一共有多少个ASCII字符“G”？答:共54bit(5)以太网源地址是多少？该地址是你主机的地址吗？是服务器的地址吗？如果不是，该地址是什么设备的以太网地址？答：不是主机以太网地址，也不是目的主机以太网地址，实验结果(6)在包含“OK”以太网帧中，从该帧的起始处开始一共有多少个ASCII字符“O”？没有出现。

实验七利用分组嗅探器（Wireshark）分析协议HTTP和DNS一、实验目的1、分析HTTP协议2、分析DNS协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为Windows；Wireshark、IE 等软件。

三、实验步骤1、HTTP GET/response交互首先通过下载一个非常简单的HTML文件（该文件非常短，并且不嵌入任何对象）。

(1)启动Web browser。

(2)启动Wireshark分组嗅探器。

在窗口的显示过滤说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。

(3)一分钟以后，开始Wireshark分组俘获。

(4)在打开的Web browser窗口中输入一下地址（浏览器中将显示一个只有一行文字的非常简单的HTML文件）：/ethereal-labs/HTTP-ethereal-file1.html(5)停止分组俘获。

图1分组俘获窗口2、HTTP 条件GET/response交互(1)启动浏览器，清空浏览器的缓存（在浏览器中，选择“工具”菜单中的“Internet选项”命令，在出现的对话框中，选择“删除文件”）。

(2)启动Wireshark分组俘获器。

开始Wireshark分组俘获。

(3)在浏览器的地址栏中输入以下URL:/ethereal-labs/HTTP-ethereal-file2.html 你的浏览器中将显示一个具有五行的非常简单的HTML文件。

(4)在你的浏览器中重新输入相同的URL或单击浏览器中的“刷新”按钮。

(5)停止Wireshark分组俘获，在显示过滤筛选说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。

3、获取长文件(1)启动浏览器，将浏览器的缓存清空。

(2)启动Wireshark分组俘获器。

开始Wireshark分组俘获。

(3)在浏览器的地址栏中输入以下URL:/ethereal-labs/HTTP-ethereal-file3.html 浏览器将显示一个相当大的美国权力法案。

实验二利用分组嗅探器（ethereal）分析协议HTTP一、实验目的分析HTTP协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；Ethereal、IE等软件。

三、实验步骤1、HTTP GET/response交互首先通过下载一个非常简单的HTML文件（该文件非常短，并且不嵌入任何对象）。

（1）启动Web browser。

（2）启动Ethereal分组嗅探器。

在窗口的显示过滤说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。

（3）一分钟以后，开始Ethereal分组俘获。

（4）在打开的Web browser窗口中输入一下地址（浏览器中将显示一个只有一行文字的非常简单的HTML文件）：/ethereal-labs/HTTP-ethereal-file1.html（5）停止分组俘获。

窗口如图1所示。

根据俘获窗口内容，回答“四、实验报告内容”中的1-6题。

图1分组俘获窗口2、HTTP 条件GET/response交互（1）启动浏览器，清空浏览器的缓存（在浏览器中，选择“工具”菜单中的“Internet 选项”命令，在出现的对话框中，选择“删除文件”）。

（2）启动Ethereal分组俘获器。

开始Ethereal分组俘获。

（3）在浏览器的地址栏中输入以下URL: /ethereal-labs/HTTP-ethereal-file2.html,你的浏览器中将显示一个具有五行的非常简单的HTML文件。

（4）在你的浏览器中重新输入相同的URL或单击浏览器中的“刷新”按钮。

（5）停止Ethereal分组俘获，在显示过滤筛选说明处输入“http”,分组列表子窗口中将只显示所俘获到的HTTP报文。

根据操作回答“四、实验报告内容”中的7-10题。

3、获取长文件（1）启动浏览器，将浏览器的缓存清空。

（2）启动Ethereal分组俘获器。

开始Ethereal分组俘获。

（3）在浏览器的地址栏中输入以下URL: /ethereal-labs/HTTP-ethereal-file3.html，浏览器将显示一个相当大的美国权力法案。

“网络协议分析网络协议分析””实验实验四四实验名称：用WireShark 研究DNS 和HTTP 协议实验目的：理解DNS及HTTP 协议的工作原理，掌握HTTP 协议的报文格式，掌握HTTP 报文中主要字段的含义和用途；熟悉DNS工作原理；学会利用WireShark 分析捕获到的分组。

实验环境：1台联网的PC 机，Wireshark 网络协议分析软件 实验实验准备准备：1、DNS 报文格式标识标志 问题数 资源记录数 授权资源记录数 额外资源记录数查询问题回答（资源记录数可变） 授权（资源记录数可变） 额外信息（资源记录数可变）2、Internet 域名空间的分类在Internet 中，域名空间划分为三个部分：类属域、国家域和反向域。

（1） 类属域：按照主机的类属行为定义注册的主机。

类属域的顶级符号包括com 、edu 、gov 、int 、mil 、net 、org 等。

（2）国家域：按照国家定义注册的主机。

国家域的顶级符号包括cn 、us 、zw 等。

（3）反向域：把一个地址映射为名字。

3、DNS 高速缓存当服务器向另一个服务器请求映射并收到它的响应时，它会在把结果发送给客户之前，把这个信息存储在它的DNS 高速缓存中。

若同一客户或另一个客户请求同样的映射，它就检查高速缓存并解析这个问题。

高速缓存减少了查询时间，提高了效率。

4、HTTP 协议HTTP 是超文本传输协议 （Hyper Text Transfer Protocol）的缩写，用于WWW 服务。

（1）HTTP 的工作原理HTTP 是一个面向事务的客户服务器协议。

尽管HTTP 使用TCP 作为底层传输协议，但HTTP 协议是无状态的。

也就是说，每个事务都是独立地进行处理。

当一个事务开始时，就在万维网客户和服务器之间建立一个TCP 连接，而当事务结束时就释放这个连接。

此外，客户可以使用多个端口和和服务器 （80 端口）之间建立多个连接。

网络协议分析实验报告实验目的1、熟悉并掌握Ethereal 的基本操作，了解网络协议实体间进行交互以及报文交换的情况。

2、分析HTTP 协议。

3、分析DNS 协议。

实验环境与因特网连接的计算机网络系统；主机操作系统为Windows2000或Windows XP；Ethereal等软件实验内容实验一：利用分组嗅探器（ethereal ）分析HTTP 和和DNS实验四：TCP协议分析实验步骤实验一（一）Ethereal 的使用1. 启动主机上的web 浏览器。

2. 启动ethereal。

你会看到如图2 所示的窗口，只是窗口中没有任何分组列表。

3. 开始分组俘获：选择“capture”下拉菜单中的“Start”命令，会出现如图3 所示的“Ethereal: Capture Options”窗口，可以设置分组俘获的选项。

4. 在实验中，可以使用窗口中显示的默认值。

在“Ethereal: Capture Options”窗口的最上面有一个“interface”下拉菜单，其中显示计算机所具有的网络接口（即网卡）。

当计算机具有多个活动网卡时，需要选择其中一个用来发送或接收分组的网络接口（如某个有线接口）。

随后，单击“ok”开始进行分组俘获，所有由选定网卡发送和接收的分组都将被俘获。

5. 开始分组俘获后，会出现如图4 所示的分组俘获统计窗口。

该窗口统计显示各类已俘获分组的数量。

在该窗口中有一个“stop”按钮，可以停止分组的俘获。

但此时你最好不要停止俘获分组。

6. 在运行分组俘获的同时，在浏览器地址栏中输入某网页的URL，如：。

为显示该网页，浏览器需要连接的服务器，并与之交换HTTP 消息，以下载该网页。

包含这些HTTP 报文的以太网帧将被Ethereal俘获。

7. 当完整的页面下载完成后，单击Ethereal 俘获窗口中的stop 按钮，停止分组俘获。

此时，分组俘获窗口关闭。

Ethereal 主窗口显示已俘获的你的计算机与其他网络实体交换的所有协议报文，其中一部分就是与服务器交换的HTTP 报文。

实验DNS 协议分析 实验步骤1.打开wireshark ，设置好过滤器。

2.在命令提示符后键入nslookup .wireshark 捕获dns 的数据包。

结果如下： 表示本地域名服务器的名字;219.229.240.19表示本地域名服务器的IP 地址 表示 的真实域名；119.75.217.56和119.75.218.45为百度的IP 地址；3.设置好过滤器后按enter 键，开始抓包.4. 分析wireshark捕获的数据包.分析前四帧：首先通过反向查询获得本地DNS 服务器的域名域名，其次通过正向查询获得查询域名的IP 地址：4.具体分析捕获的数据包的DNS 报文格式：第一帧是192.168.1.102发送给本地DNS 服务器219.229.240.19的反向查询取得报文，用于获得本地DNS 服务器的名字。

具体协议说明如下：前两帧：通过反向查询获得本地DNS 服务器的名字 后两帧：通过正向查询获得查询域名对应的IP 地址帧数应用层存活时间网络层递归请求版本，表示的是 IP 規格版本标头长度识别码封包总长 。

通常以 byte 做单位來表示该封包的总长度，此数值包括标头和数据的总和。

第二帧是本地DNS服务器返回的响应帧,包含查询结果，即本地DNS 服务器的名字：存活时间反向查询的域名，即查询结果权威DNS本地服务器的域名第三帧是客户端发过给本地DNS服务器的DNS请求报文，用于请求对应的IP 地址请求的资源记录RR第四帧是本地DNS服务器发给客户端的响应报文，包含了对应的真正的域名和IP地址.是对应的真正域名，也是的最初的名字对应的IP是119.75.217.56和119.75.218.45。

实验三利用分组嗅探器分析HTTP和DNS一、实验目的及任务1、熟悉并掌握Ethereal(或WireShark)的基本操作，了解网络协议实体间的交互以及报文交换。

2、分析HTTP协议3、分析DNS协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为Windows2000或Windows XP；Ethereal(或WireShark)等软件。

说明：分组数据的获取主机IP：192.168.1.101。

三、预备知识要深入理解网络协议，需要仔细观察协议实体之间交换的报文序列。

为探究协议操作细节，可使协议实体执行某些动作，观察这些动作及其影响。

这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。

观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器捕获（嗅探）计算机发送和接收的报文。

一般情况下，分组嗅探器将存储和显示出被捕获报文的各协议头部字段内容。

图1为一个分组嗅探器的结构。

图1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：web浏览器和ftp客户端）。

分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。

分组捕获库接收计算机发送和接收的每一个链路层帧的拷贝。

高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧(Frame)中，并沿着物理介质（如以太网的电缆）传输。

图1假设所使用的物理媒体是以太网，上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分析器。

分析器用来显示协议报文所有字段的内容。

为此，分析器必须能够理解协议所交换的所有报文的结构。

例如：我们要显示图1中HTTP协议所交换的报文的各个字段。

分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。

分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP报文段。

然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。

山东建筑大学计算机学院实验报告班级：______ 姓名：______ 学号：实验成绩：__________课程：______________________________ 同组者：__________ 实验日期：__________ 实验一利用WireShark分析HTTP和DNS一、实验目的及任务1、熟悉并掌握Wireshark的基本操作，了解网络协议实体间的交互以及报文交换。

2、分析HTTP协议3、分析DNS协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为Windows2000或Windows XP；Wireshark等软件。

三、实验预习1、Internet协议栈分为哪几层？每一层的功能、典型协议各是什么？并给出典型协议的英文全称。

应用层运输层网络层链路层物理层应用层：网络应用程序及他们的应用层协议保存的地方HTTP SMTP FTP 运输层：在应用程序端点之间传送应用层报文TCP UDP网络层：负责将数据包的网络层分组从一台主机移动到另一台主机IP协议链路层：主要为网络层提供传输服务物理层：将帧中的一个一个比特从一个节点移动到下一个节点2、HTTP请求报文的基本格式是什么？列举四种常见的首部字段名，并解释其后“值”字段的含义。

Accept：用于高速服务器，客户机支持的数据类型Accept-Charset：用于告诉服务器，客户机采用的编码格式Accept-Encoding：用于告诉服务器，客户机支持的数据压缩格式Accept-Language：客户机的语言环境3、HTTP响应报文的基本格式是什么？列举五种常见的首部字段名，并解释其后“值”字段的含义。

4、应用“条件Get”方法的基本目的是什么？该方法所用到的典型的首部字段名是什么？当客户端要从服务器中读取文档时，使用GET方法。

GET方法要求服务器将URL定位的资源放在响应报文的数据部分，回送给客户端。

5、DNS有哪两层基本含义？DNS层次结构中包含哪三类DNS服务器？分布式数据库层次数据库根DNS服务器顶级域名服务器权威DNS服务器6、DNS报文的基本格式是什么？7、列举三种常见的DNS记录，并解释记录中每个字段的含义。

1.清除DNS域名解析缓存2.2.HTTP请求报文格式首部名首部值含义accept */* 接受referer Accept-Language zh-cn 接受语言Accept-Encoding Gzip,deflate 接受编码User-Agent Mozilla/4.0 (compatible; MSIE 6.0;请求的WEB浏览器及客户机器Windows NT 5.1; ...................)host Url域名是connection Keep-alive 表明发送请求之后TCP连接继续保持3.HTTP应答报文格式首部名首部值含义HTTP/1.1 200 ok 显示服务器使用的HTTP版本Cache-Control private 表明是否可以将返回的数据副本存储或高速缓存。

Date Fri,13 May 2012 01:41:12 GMT 消息返回的时间Content-Length 18596 数据的长度Content-Type Txt/css 返回对象的类型Last-Modified Fri,13 May 2012 01:41:12 GMT 返回对象的最后修改日期Server Microsoft 6.0 IIS WEB服务器问题回答:（1）你的浏览器运行的是HTTP1.0，还是HTTP1.1？你所访问的服务器所运行的HTTP版本号是多少？答：我的浏览器上运行HTTP version 1.1（2）你的浏览器向服务器指出它能接收何种语言版本的对象？答：浏览器语言为：简体中文accept language : zh -cn\r\n（3）你的计算机的IP地址是多少？服务器的IP地址是多少？本机IP:10.0.163.199服务器IP地址：128.119.245.12（5）你从服务器上所获取的HTML文件的最后修改时间是多少？Fri,13 May 2012 01:41:12（6）返回到你的浏览器的内容以供多少字节？18596（7）分析你的浏览器向服务器发出的第一个HTTP GET请求的内容，在该请求报文中，是否有一行是：IF-MODIFIED-SINCE？没有。

（完整）使⽤wireshark进⾏协议分析实验报告1 深圳⼤学实验报告实验课程名称：计算机⽹络实验项⽬名称：使⽤wireshark进⾏协议分析学院：计算机与软件学院专业：计算机科学与技术报告⼈：邓清津学号：2011150146 班级：2班同组⼈：⽆指导教师：杜⽂峰实验时间：2013/6/10实验报告提交时间：2013/6/10教务处制⼀、实验⽬的与要求学习使⽤⽹络数据抓包软件.学习使⽤⽹络数据抓包软件wireshark，并对⼀些协议进⾏分析。

⼆、实验仪器与材料Wireshark抓包软件三、实验内容使⽤wireshark分析各层⽹络协议1.HTTP协议2.ARP协议，ICMP协议3.IP协议4.EthernetII层数据帧为了分析这些协议，可以使⽤⼀些常见的⽹络命令。

例如，ping等。

四、实验步骤1、安装Wireshark，简单描述安装步骤:2、打开wireshark，选择接⼝选项列表。

或单击“Capture”，配置“option”选项。

3.点击start后，进⾏分组捕获，所有由选定⽹卡发送和接收的分组都将被捕获。

4. 开始分组捕获后，会出现如图所⽰的分组捕获统计窗⼝。

该窗⼝统计显⽰各类已捕获分组的数量。

在该窗⼝中有⼀个“stop”按钮，可以停⽌分组的捕获。

⼀、分析HTTP协议1.在浏览器地址栏中输⼊某⽹页的URL，如：/doc/b02e161128f90242a8956bec0975f46527d3a70c.html 。

为显⽰该⽹页，浏览器需要连接/doc/b02e161128f90242a8956bec0975f46527d3a70c.html 的服务器，并与之交换HTTP消息，以下载该⽹页。

包含这些HTTP消息的以太⽹帧(Frame)将被WireShark捕获。

2. 在显⽰筛选编辑框中输⼊“http”，单击“apply”，分组列表窗⼝将只显⽰HTTP消息。

3.点击其中⼀个http协议包请求⾏：⽅法字段：GET，版本是http/1.1.⾸部⾏：主机host：/doc/b02e161128f90242a8956bec0975f46527d3a70c.html ；Connection：Keep-Alive，即保持持久连接；Accept-language：zh-cn，即接收语⾔是中⽂。

计算机网络实验指导书------网络与通信教研室枣庄学院信息科学与工程学院2011.12目录实验一Wireshark的安装与使用 (3)实验二使用Wireshark分析以太网帧与ARP协议 (7)实验三使用Wireshark分析IP协议 (11)实验四利用Wireshark分析ICMP (19)实验五使用Wireshark分析UDP协议 (25)实验六使用Wireshark分析TCP协议 (29)实验七利用Wireshark分析协议HTTP (35)实验八利用Wireshark分析DNS协议 (40)实验九使用Wireshark分析FTP协议（选作） (44)实验十使用Wireshark分析SMTP和POP3协议（选作） (48)实验一Wireshark的安装与使用一、实验目的1、熟悉并掌握Wireshark的基本使用；2、了解网络协议实体间进行交互以及报文交换的情况。

二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、预备知识要深入理解网络协议，需要观察它们的工作过程并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。

这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。

观察正在运行的协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer），又称分组捕获器。

顾名思义，分组嗅探器捕获（嗅探）你的计算机发送和接收的报文。

图1显示了一个分组嗅探器的结构。

图1图1右边是计算机上正常运行的协议和应用程序（如：Web浏览器和FTP客户端）。

分组嗅探器（虚线框中的部分）主要有两部分组成：第一是分组捕获器，其功能是捕获计算机发送和接收的每一个链路层帧的拷贝；第二个组成部分是分组分析器，其作用是分析并显示协议报文所有字段的内容（它能识别目前使用的各种网络协议）。

Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器，是一个开源免费软件，可以从下载。

计算机学院网络工程2012（1）班学号：3112006354 姓名：詹德超实训一网络分层及ARP、DNS协议分析一、实验目的1．学习WireShark协议分析软件的使用方法，学会利用WireShark进行抓包分析。

2．学习过滤数据包，并对数据包的构成进行分析，直观感受协议分层及各层协议数据单元的格式及相应关系。

3．通过分析ARP与DNS数据包，了解网络各层地址构成。

二、实训内容1. 阅读协议分析工具WireShark的用户手册，重点学习用户界面操作，了解WireShark的基本使用方法；2. 利用Wireshark进行数据包的抓取、过滤；3. 对抓取到的数据包进行协议分析，包括数据帧二进制数据组成、协议分层、各数据包包头信息、数据包之间的关系（ARP解析、DNS解析）等。

三、实验工具PC机，Windows，WireShark软件四、实验步骤与分析（一）学习使用WireShark软件进行网络数据分析1．本机arp –a，查看ARP缓存。

2．本机 arp –d，删除ARP缓存。

本机arp –a，查看ARP缓存。

3．本机ipconfig /displaydns，查看DNS缓存。

4．本机 ipconfig /flushdns，删除DNS缓存。

5．运行WireShark软件，启动抓包6．打开浏览器，访问一个网站7．点击网站内容8．停止抓包9．本机ipconfig /displaydns，查看DNS缓存。

10．填写下列表格：要求：透彻理解协议分层及各层的地址的内容和意义；理解数据包的数据及其组成。

（二） DNS实验1. 对所抓包设置过滤条件为：“dns”2．找到有你访问网站URL的DNS请求包和应答包3．分析DNS请求包要求：理解该请求包的功能；理解该数据包如何从源端传输到目的端。

4．分析DNS应答包5．选中上述DNS应答包，清除过滤，检查接下来的数据包有没有从上述应答包所告知的IP地址的访问，是什么类型的访问，请截图并分析。

实验八利用Wireshark分析DNS协议一、实验目的分析DNS协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤nslookup工具允许运行该工具的主机向指定的DNS服务器查询某个DNS记录。

如果没有指明DNS服务器，nslookup将把查询请求发向默认的DNS服务器。

其命令的一般格式是：nslookup –option1 –option2 host-to-find dns-server1、打开命令提示符（Command Prompt），输入nslookup命令。

图中显示三条命令，第一条命令：nslookup “提出一个问题”即：“将主机的IP地址告诉我”。

屏幕上出现了两条信息：（1）“回答这一问题”DNS服务器的名字和IP地址；（2）主机名字和IP地址。

第二条命令：nslookup –type=NS 在这个例子中，我们提供了选项“-type=N S”，域为。

执行这条命令后，屏幕上显示了DNS服务器的名字和地址。

接着下面是三个MIT DNS服务器，每一个服务器是MIT校园里权威的DNS服务器。

第三条命令：nslookup www.aiit.or.kr 在这个例子中，我们请求返回 DNS server 而不是默认的DNS服务器()。

此例中，DNS 服务器提供主机www.aiit.or.kr 的IP地址。

2、ipconfigipconfig用来显示TCP/IP 信息, 你的主机地址、DNS服务器地址，适配器等信息。

如果你想看到所有关于你所在主机的信息，可在命令行键入：ipconfig /allipconfig在管理主机所储存的DNS信息非常有用。

如果查看DNS缓存中的记录用命令：ipconfig /displaydns要清空DNS缓存，用命令：ipconfig /flushdns3、利用Wireshark捕获DNS信息（1）利用ipconfig命令清空你的主机上的DNS缓存。

实验七利用Wireshark分析协议HTTP一、实验目的分析HTTP协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤在有的实验中需要先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的，而不是从高速缓冲中取得的。

其操作步骤为：依次点击浏览器的菜单“工具”－“Internet选项”－“常规”－“删除历史记录”。

如果需要清空客户端的DNS高速缓存，其操作步骤为：单击“开始”菜单－“所有程序”－“附件”－“命令提示符”，进入命令提示行状态，然后输入命令：ipconfig /flushdns，返回Windows使用命令：exit（2）启动Wireshrk 分组捕获器。

（3）在Web 浏览器中输入：（4）停止分组捕获。

图1：利用Wireshark捕获的HTTP分组最前面有两个DNS分组。

第一个分组是将域名转换成为对应的IP 地址的请求，第二个分组包含了转换的结果。

随着转换的完成，Web浏览器与Web服务器建立一个TCP连接。

最后，Web 浏览器使用已建立好的TCP连接来发送请求“GET/HTTP/1.1”。

这个分组描述了要求的行为（“GET”）及文件（只写“/”是因为我们没有指定文件名），还有所用到的协议的版本（“HTTP/1.1”）。

在协议框中，选择“GET/HTTP/1.1”所在的分组会看到这个基本请求行后跟随着一系列额外的请求首部，在首部后的“\r\n”表示一个回车和换行。

“Host”首部在HTTP1.1版本中是必须的，它描述了URL中机器的域名，本例中是。

这就允许了一个Web服务器在同一时间支持许多不同的域名。

有了这个数据，Web服务器就可以区别客户试图连接哪一个Web服务器，并对每个客户响应不同的内容，这就是HTTP1.0到1.1版本的主要变化。

User-Agent首部描述了提出请求的Web浏览器及客户机器。

接下来是一系列的Accpet首部，包括Accept（接受的各种类型文本）、Accept-Language（接受语言）、Accept-Encoding（接受编码）、Accept-Charset（接受字符集）。