wireshark分析HTTP

3011216028 赵西佳 利用 Wireshark分析协议 HTTP 一、实验目的 分析 HTTP 协议 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有 Wireshark、IE 等软 件。 三、实验步骤 3.1 课程设计步骤 (1) 启动 WireShark。 图 3.1 wireshark 启动界面 (2) 启动 PC 上的 chrome 浏览器。 3011216028 赵西佳 图 3.2 启动 chrome 浏览器 (3) 开始分组捕获：选择“抓包”下拉菜单中的“抓包参数选择”命令，在 WireShark： “抓包选项”窗口中可以设置分组捕获的选项。 图 3.3 选项 (4) 在这次实验中，使用窗口中显示的默认值。选择“抓包”下拉菜单中的 “网络接口”命令，显示计算机中所安装的网络接口(即网卡)。我们需要选择电 脑真实的网卡，点击后显示本机的 IP 地址。 (5) 随后，点击“开始”则进行分组捕获，所有由选定网卡发送和接收的分 组都将被捕获。 图 3.4 抓包选项设置 3011216028 赵西佳 (6) 待捕获一段时间，关闭浏览器，选择主窗口中有的“stop”按钮，可以 停止分组的捕获。 图 3.5 结束按钮 3.2 抓包并分析过程 这次实验通过分析打开谷歌主页来分析 http 协议的作用。 在 filter 中输入 http 进行筛选。 wireshark 所抓的含有 http 请求报文的帧： 图 3.6 打开谷歌主页抓到的 HTTP 包 对打开谷歌网页这个事务进行分析：在浏览器中输入谷歌主页地址，敲击回 车的过程中， 浏览器向 DNS 请求解析 的 IP 地址。 域名系统 DNS 解析出谷歌服务器的 IP 地址为 173.194.72.199 在这个过程中本机 IP 10.10.22.75。 然后浏览器与服务器建立 TCP 连接(服务器端的 IP 地址为 173.194.72.199，端口 是 80)。然后浏览器发出取文件命令：GET /webhp?hl=zh-CNq=0.9,*/*;q=0.8 User-Agent： Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31 //用户代理，浏览 器的类型是 chrome 浏览器；括号内是相关解释 X-Chrome-Variations： CLS1yQEIkbbJAQihtskBCKO2yQEIp7bJAQiptskBCLm2yQEI/IPKAQibhMoB Accept-Encoding： gzip,deflate,sdch //可接受编码，文件格式 Accept-Language： zh-CN,zh;q=0.8 //语言中文 Accept-Charset： GBK,utf-8;q=0.7,*;q=0.3 //告诉服务器， 客户端提交的 表单可能使用的编码 3011216028 赵西佳 Cookie： NID=67=FFrU7T8-DNJkzwhsGzijolp09lzBgCLKCRzVNkZRrfsoTT2-aTJFjxZ9dW gebP_mDb_DAt6tYahSqydnDLk0gW5vP47JC7Xhj-183NqQxUGUnb3dZHh71-We AabsKurvndnGPPa3MdY; PREF=ID=1c5991ad66b47581：U=4e3bc9a43161a8a2： FF=2：LD=zh-CN：NW=1：TM=1330947425：LM=1372979082： S=zO71aH_kzkhNciIQ //允许站点跟踪用户，cookieID 是1c5991ad66b47581 图 3.7 第 2 个包 分析：由状态栏的 200 代码可知，谷歌服务器(IP 地址为 173.194.72.199)成 功接收到我们本地发送的请求报文，向 IP 地址为 10.10.22.75 的本地发送响应报 文，把文件发送给浏览器。根据报文内容可以知道更多的关于文档的信息。 代码分析： HTTP/1.1 200 OK\r\n //状态行，成功 Date： Fri, 05 Jul 2013 04：19：16 GMT\r\n //响应信息创建的时间 Expires： -1\r\n //设置内容过期时间 Cache-Control： private, max-age=0\r\n Content-Type： text/html; charset=UTF-8\r\n //内容类型：文本 3011216028 赵西佳 Content-Encoding： gzip\r\n //内容编码 Server： gws\r\n //服务器 X-XSS-Protection： 1; mode=block\r\n //X-XSS 防护 X-Frame-Options： SAMEORIGIN\r\n Transfer-Encoding： chunked\r\n //分块传输编码 \r\n HTTP chunked response Line-based text data： text/html //对所传文本信息(基于 html)的描述 图 3.8 第 3 个包 分析： 第二个包中抓到的包中的文本文档中有标记还要继续下载的内容， 本 地服务器再次发送请求报文向谷歌服务器请求下载文件， 由请求行可以看出请求 的是一张 png 格式的图片，应该是谷歌主页的 logo。 代码分析： GET /textassistant/tia.png/1.1\r\n //请求目标是一张格式为 png 的 图片 Host： //目标所在的主机 Connection： keep-alive //激活连接 Accept：*/* User-Agent： Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31 //用户代理，浏 览器的类型是 chrome 浏览器；括号内是相关解释 3011216028 赵西佳 X-Chrome-Variations： CLS1yQEIkbbJAQihtskBCKO2yQEIp7bJAQiptskBCLm2yQEI/IPKAQibhMoB Accept-Encoding： gzip,deflate,sdch //可接受编码，文件格式 Accept-Language： zh-CN,zh;q=0.8 //语言中文 Accept-Charset： GBK,utf-8;q=0.7,*;q=0.3