用wireshark分析Http 和Dns 报文
一、http请求报文和响应报文
wireshark所抓的一个含有http请求报文的帧：
1、帧的解释
链路层的信息上是以帧的形式进行传输的，帧封装了应用层、传输层、网络层的数据。

而wireshark抓到的就是链
路层的一帧。

图中解释：
Frame 18：所抓帧的序号是11，大小是409字节
Ethernet ：以太网，有线局域网技术，属链路层
Inernet Protocol：即IP协议，也称网际协议，属网络层
Transmisson Control Protocol：即TCP协议，也称传输控
制协议。

属传输层
Hypertext transfer protocol：即http协议，也称超文本传
输协议。

属应用层
图形下面的数据是对上面数据的16进制表示。

2、分析上图中的http请求报文
报文分析：
请求行：
GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本
我们发现，报文里有对请求行字段的相关解释。

该报文请求的是一个对象，该对象是图像。

首部行：
Accept: */*
Referer: /这是网站网址
Accept-Language: zh-cn 语言中文
Accept-Encoding: gzip, deflate 可接受编码，文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)
用户代理，浏览器的类型是Netscape浏览器；括号内
是相关解释
Host: 目标所在的主机
Connection: Keep-Alive 激活连接
在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名，比如下面http请求报文中橙黄色首部字段名：
Accept: */*
Referer: /thread-345413-1-1.html这是html文件网址Accept-Language: zh-cn 语言中文
Accept-Encoding: gzip, deflate 可接受编码，文件格式If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT 内容是否被修改：最后
一次修改时间
If-None-Match: "9a4041-197-2f11e280" 关于资源的任何属性
（ET ags值）在ETags的值中可以体现，是否改变
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)
用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释
Host: 目标所在的主机
Connection: Keep-Alive 激活连接
Cookie: cdb_sid=0Ocz4H; cdb_oldtopics=D345413D; cdb_visitedfid=17; __gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY 24VDbjc1A
cookie，允许站点跟踪用户，coolie ID是7ab350574834b14b
3、分析http的响应报文，针对上面请求报文的响应报文如下：
wireshark对于2中http请求报文的响应报文：
展开http响应报文：
报文分析：
状态行：
HTTP/1.0 200 OK
首部行：
Content-Length: 159 内容长度
Accept-Ranges: bytes 接受范围
Server: nginx 服务器
X-Cache: MISS from 经过了缓存服
务器
Via::80(squid/2.6.STABLE14-20070808) 路由响应信息Date: Fri, 22 Oct 2010 12:09:42 GMT 响应信息创建的时间
Content-Type: image/gif 内容类型图像
Expires: Fri, 22 Oct 2010 12:10:19 GMT 设置内容过期时间
Last-Modified: Fri, 11 Jun 2010 00:50:48 GMT 内容最后
一次修改时间Powered-By-ChinaCache:PENDING from CNC-BJ-D-3BA ChinaCache的是一家领先的内容分发网络（CDN）在中国的服务提供商。

Age: 34 缓存有效34天
Powered-By-ChinaCache: HIT from USA-SJ-1-3D3 ChinaCache是一家领先的内容分发网络（CDN）在中国的服务提供商。

Connection: keep-alive 保持TCP连接
图中最后一行compuserve GIF 是对所传图像的信息的描述GIF是compuserve公司开发的图像格式标准。

二、DNS查询报文和回答报文
1、Wireshark所抓的DNS查询报文：
该查询报文是查询 的IP地址，使用的传输层协议是UDP协议。

展开DNS查询报文：
报文分析：
首部区域：
标识符：Transaction ID: 0x4b48 16位比特数，标志该查询
标志：Flags：0x0100（standard query）
0………. ….= Respone：Messsage is a query
0表示为dns查询报文
.000 0……. ….=opcode：standard query(0)
操作码为标准查询
.… ..0. …. ….=Truncated：message is not truncated
信息没有被截断
.…..1. …. ….=Recursion desired：Do query
recursively 执行递归查询
…. …. .0.. …..=z：reserved（0）
…. …. …0 …..=Nontheticated data：unacceptable
问题数：Question:1 只查询一个主机名
回答RR数：Answer RRS:0
权威RR数：Authority RRS:0
附加RR数：Additional RRS:0
问题区域：
问题（问题变量数）：: type A, class IN
查询一个主机 回答（资源记录的变量数）：Name：
Type A(Host address)
class：IN(0x0001)
包含最初请求的名字的资源记录权威（资源记录的变量数）：无
附加信息：无
2、Wireshark 对应的DNS回答报文：
展开DNS回答报文：
报文分析：
首部区域：
标识符：Transaction ID: 0x4b48 16位比特数，与对应的查询报文标识
符相同
标志：Flags：0x8180（standard query）
问题数：Question:1 表示只查询一个主机
回答RR数：Answer RRS:5 表示该主机对应的有5条资
源记录
权威RR数：Authority RRS:0
附加RR数：Additional RRS:0
问题区域：
问题（问题变量数）：: type A, class IN
Name：
Type A(Host address)
class：IN(0x0001)
最初请求的名字的资源记录
回答（资源记录的变量数）：Answers
5条RR,即主机与ip的5条资源记录
权威（资源记录的变量数）：无
附加信息：无。