wireshark抓包分析.docx

用wireshark分析Http和Dns报文一、http请求报文和响应报文wireshark所抓的一个含有http请求报文的帧:1、帧的解释链路层的信息上是以帧的形式进行传输的,帧封装了应用层、传输层、网络层的数据。而wireshark抓到的就是链路层的一帧。图中解释:Frame18:所抓帧的序号是11,:以太网,有线局域网技术,Protocol:即IP协议,也称网际协议,属网络层TransmissonControlProtocol:即TCP协议,也称传输控制协议。属传输层Hypertexttransferprotocol:即http协议,也称超文本传输协议。属应用层图形下面的数据是对上面数据的16进制表示。2、分析上图中的http请求报文报文分析:请求行:GET/img/2009people_index/images//URL字段/http协议的版本我们发现,报文里有对请求行字段的相关解释。该报文请求的是一个对象,该对象是图像。首部行:Accept:*/*Referer:/Accept-Language:Accept-Encoding:gzip,deflate这是网站网址语言中文可接受编码,文件格式User-Agent:Mozilla/;;;SV1;CIBA;.;.;.;360SE)用户代理,scape浏览器;括号内是相关解释Host:onnection:Keep-Alive目标所在的主机激活连接在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名,比如下面http请求报文中橙黄色首部字段名:Accept:*/*Referer:http://bbs./thread-345413-1--Language:ept-Encoding:gzip,deflateIf-Modified-Since:Sat,13Mar201006:59:06GMTIf-None-Match:"9a4041-197-2f11e280"可接受编码,文件格式内容是否被修改:最后一次修改时间关于资源的任何属性(ETags值)在ETags的值中可以体现,是否改变User-Agent:Mozilla/;;;SV1;CIBA;.;.;.;360SE)用户代理,scape浏览器;括号内是相关解释Host::Keep-Alive目标所在的主机激活连接Cookie:cdb_sid=0Ocz4H;cdb_oldtopics=D345413D;cdb_visitedfid=17;__gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY24VDbjc1Acookie,允许站点跟踪用户,coolieID是7ab350574834b14b3、分析http的响应报文,针对上面请求报文的响应报文如下:wireshark对于2中http请求报文的响应报文:展开http响应报文:报文分析:状态行:HTTP/:Content-Length:ept-Ranges:bytesServer:nginx内容长度接受范围服务器X-Cache::.:80(squid/-20070808)路由响应信息Date:Fri,22Oct201012:09:42GMT响应信息创建的时间Content-Type:image/gif内容类型图像Expires:Fri,22Oct201012:10:19GMT设置内容过期时间Last-Modified:Fri,11Jun201000:50:48GMT内容最后一次修改时间Powered-By-ChinaCache:C-BJ-D-3BAChinaCache的是一家领先的内容分发网络(CDN)在中国的服务提供商。Age:34缓存有效34天Powered-By-ChinaCache:HITfromUSA-SJ-1-3D3ChinaCache是一家领先的内容分发网络(CDN)在中国的服务提供商。Connection:keep-alivepuserve公司开发的图像格式标准。二、DNS查询报文和回答报文1、Wireshark所抓的DNS查询报文:该查询报文是查询english