wireshark抓包分析.doc

《wireshark抓包分析.doc》由会员分享，可在线阅读，更多相关《wireshark抓包分析.doc（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-datewireshark抓包分析用wireshark分析Http 和 dns 报文 用wireshark分析Http 和 Dns 报文一、 http请求报文和响应报文 wireshark所抓的一个含有http请求报文的帧：1、 帧的解释链路层的信息上是以帧的形式进行传输的，帧封装了应用层、传输层、网络层的数据。而wireshark抓到的就是链路层的一帧。图中解释：Frame

2、 18： 所抓帧的序号是11，大小是409字节Ethernet ： 以太网，有线局域网技术 ，属链路层Inernet Protocol：即IP协议，也称网际协议，属网络层Transmisson Control Protocol：即TCP协议，也称传输控制协议。属传输层Hypertext transfer protocol：即http协议，也称超文本传输协议。属应用层 图形下面的数据是对上面数据的16进制表示。2、 分析上图中的http请求报文报文分析：请求行：GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段 / URL字段 /

3、http协议的版本 我们发现，报文里有对请求行字段的相关解释。该报文请求的是一个对象，该对象是图像。首部行： Accept: */*Referer: 这是网站网址Accept-Language: zh-cn 语言中文Accept-Encoding: gzip, deflate 可接受编码，文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)用户代理，浏览器的

4、类型是Netscape浏览器；括号内是相关解释Host: 目标所在的主机Connection: Keep-Alive 激活连接在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名，比如下面http请求报文中橙黄色首部字段名：Accept: */*Referer: 这是html文件网址Accept-Language: zh-cn 语言中文Accept-Encoding: gzip, deflate 可接受编码，文件格式If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT 内容是否被修改：最后一次修改时间 If-None-Match:

5、9a4041-197-2f11e280 关于资源的任何属性 （ ETags值） 在ETags的值中可以体现，是否改变User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE) 用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释Host: 目标所在的主机Connection: Keep-Alive 激活连接Cookie: cdb_sid=0Ocz4H; cdb

6、_oldtopics=D345413D; cdb_visitedfid=17; _gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY24VDbjc1A cookie，允许站点跟踪用户，coolie ID是7ab350574834b14b3、 分析http的响应报文，针对上面请求报文的响应报文如下：wireshark对于2中http请求报文的响应报文：展开http响应报文：报文分析：状态行：HTTP/1.0 200 OK 首部行：Content-Length: 159 内容长度Accept-Ranges: bytes

7、 接受范围Server: nginx 服务器X-Cache: MISS from 经过了缓存服务器Via:80(squid/2.6.STABLE14-20070808) 路由响应信息Date: Fri, 22 Oct 2010 12:09:42 GMT 响应信息创建的时间Content-Type: image/gif 内容类型 图像Expires: Fri, 22 Oct 2010 12:10:19 GMT 设置内容过期时间Last-Modified: Fri, 11 Jun 2010 00:50:48 GMT 内容最后一次修改时间Powered-By-ChinaCache:PENDING f

8、rom CNC-BJ-D-3BA ChinaCache的是一家领先的内容分发网络（CDN）在中国的服务提供商。Age: 34 缓存有效34天Powered-By-ChinaCache: HIT from USA-SJ-1-3D3ChinaCache是一家领先的内容分发网络（CDN）在中国的服务提供商。Connection: keep-alive 保持TCP连接图中最后一行compuserve GIF 是对所传图像的信息的描述GIF是compuserve公司开发的图像格式标准。二、 DNS查询报文和回答报文1、 Wireshark所抓的DNS查询报文：该查询报文是查询 的IP地址，使用的传输层协

9、议是UDP协议。展开DNS查询报文： 报文分析： 首部区域：标识符：Transaction ID: 0x4b48 16位比特数，标志该查询标志： Flags： 0x0100（standard query） 0 . .= Respone：Messsage is a query 0表示为dns查询报文.000 0 . .=opcode： standard query(0) 操作码为标准查询. .0. . .=Truncated：message is not truncated 信息没有被截断. .1. . .=Recursion desired：Do query recursively 执行递归查

10、询. . .0. .=z：reserved（0）. . 0 .=Nontheticated data： unacceptable 问题数：Question:1 只查询一个主机名回答RR数：Answer RRS:0权威RR数：Authority RRS:0 附加RR数：Additional RRS:0问题区域：问题（问题变量数）：: type A, class IN 查询一个主机回答（资源记录的变量数）： Name：Type A(Host address) class：IN(0x0001) 包含最初请求的名字的资源记录权威（资源记录的变量数）：无附加信息： 无2、Wireshark 对应的DNS

11、回答报文：展开DNS回答报文：报文分析： 首部区域：标识符：Transaction ID: 0x4b48 16位比特数，与对应的查询报文标识符相同标志： Flags： 0x8180（standard query） 问题数：Question:1 表示只查询一个主机回答RR数：Answer RRS:5 表示该主机对应的有5条资源记录权威RR数：Authority RRS:0附加RR数：Additional RRS:0问题区域：问题（问题变量数）：: type A, class INName：Type A(Host address) class：IN(0x0001) 最初请求的名字的资源记录回答（资源记录的变量数）： Answers 5条RR,即主机与ip的5条资源记录权威（资源记录的变量数）：无附加信息： 无-