当前位置:文档之家› wireshark抓包分析

wireshark抓包分析

用wireshark分析Http 和Dns 报文
一、http请求报文和响应报文
wireshark所抓的一个含有http请求报文的帧:
1、帧的解释
链路层的信息上是以帧的形式进行传输的,帧封装了应用层、传输层、网络层的数据。

而wireshark抓到的就是链
路层的一帧。

图中解释:
Frame 18:所抓帧的序号是11,大小是409字节
Ethernet :以太网,有线局域网技术,属链路层
Inernet Protocol:即IP协议,也称网际协议,属网络层
Transmisson Control Protocol:即TCP协议,也称传输控
制协议。

属传输层
Hypertext transfer protocol:即http协议,也称超文本传
输协议。

属应用层
图形下面的数据是对上面数据的16进制表示。

2、分析上图中的http请求报文
报文分析:
请求行:
GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本
我们发现,报文里有对请求行字段的相关解释。

该报文请求的是一个对象,该对象是图像。

首部行:
Accept: */*
Referer: /这是网站网址
Accept-Language: zh-cn 语言中文
Accept-Encoding: gzip, deflate 可接受编码,文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)
用户代理,浏览器的类型是Netscape浏览器;括号内
是相关解释
Host: 目标所在的主机
Connection: Keep-Alive 激活连接
在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名,比如下面http请求报文中橙黄色首部字段名:
Accept: */*
Referer: /thread-345413-1-1.html这是html文件网址Accept-Language: zh-cn 语言中文
Accept-Encoding: gzip, deflate 可接受编码,文件格式If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT 内容是否被修改:最后
一次修改时间
If-None-Match: "9a4041-197-2f11e280" 关于资源的任何属性
(ET ags值)在ETags的值中可以体现,是否改变
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)
用户代理,浏览器的类型是Netscape浏览器;括号内是相关解释
Host: 目标所在的主机
Connection: Keep-Alive 激活连接
Cookie: cdb_sid=0Ocz4H; cdb_oldtopics=D345413D; cdb_visitedfid=17; __gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY 24VDbjc1A
cookie,允许站点跟踪用户,coolie ID是7ab350574834b14b
3、分析http的响应报文,针对上面请求报文的响应报文如下:
wireshark对于2中http请求报文的响应报文:
展开http响应报文:
报文分析:
状态行:
HTTP/1.0 200 OK
首部行:
Content-Length: 159 内容长度
Accept-Ranges: bytes 接受范围
Server: nginx 服务器
X-Cache: MISS from 经过了缓存服
务器
Via::80(squid/2.6.STABLE14-20070808) 路由响应信息Date: Fri, 22 Oct 2010 12:09:42 GMT 响应信息创建的时间
Content-Type: image/gif 内容类型图像
Expires: Fri, 22 Oct 2010 12:10:19 GMT 设置内容过期时间
Last-Modified: Fri, 11 Jun 2010 00:50:48 GMT 内容最后
一次修改时间Powered-By-ChinaCache:PENDING from CNC-BJ-D-3BA ChinaCache的是一家领先的内容分发网络(CDN)在中国的服务提供商。

Age: 34 缓存有效34天
Powered-By-ChinaCache: HIT from USA-SJ-1-3D3 ChinaCache是一家领先的内容分发网络(CDN)在中国的服务提供商。

Connection: keep-alive 保持TCP连接
图中最后一行compuserve GIF 是对所传图像的信息的描述GIF是compuserve公司开发的图像格式标准。

二、DNS查询报文和回答报文
1、Wireshark所抓的DNS查询报文:
该查询报文是查询 的IP地址,使用的传输层协议是UDP协议。

展开DNS查询报文:
报文分析:
首部区域:
标识符:Transaction ID: 0x4b48 16位比特数,标志该查询
标志:Flags:0x0100(standard query)
0………. ….= Respone:Messsage is a query
0表示为dns查询报文
.000 0……. ….=opcode:standard query(0)
操作码为标准查询
.… ..0. …. ….=Truncated:message is not truncated
信息没有被截断
.…..1. …. ….=Recursion desired:Do query
recursively 执行递归查询
…. …. .0.. …..=z:reserved(0)
…. …. …0 …..=Nontheticated data:unacceptable
问题数:Question:1 只查询一个主机名
回答RR数:Answer RRS:0
权威RR数:Authority RRS:0
附加RR数:Additional RRS:0
问题区域:
问题(问题变量数):: type A, class IN
查询一个主机 回答(资源记录的变量数):Name:
Type A(Host address)
class:IN(0x0001)
包含最初请求的名字的资源记录权威(资源记录的变量数):无
附加信息:无
2、Wireshark 对应的DNS回答报文:
展开DNS回答报文:
报文分析:
首部区域:
标识符:Transaction ID: 0x4b48 16位比特数,与对应的查询报文标识
符相同
标志:Flags:0x8180(standard query)
问题数:Question:1 表示只查询一个主机
回答RR数:Answer RRS:5 表示该主机对应的有5条资
源记录
权威RR数:Authority RRS:0
附加RR数:Additional RRS:0
问题区域:
问题(问题变量数):: type A, class IN
Name:
Type A(Host address)
class:IN(0x0001)
最初请求的名字的资源记录
回答(资源记录的变量数):Answers
5条RR,即主机与ip的5条资源记录
权威(资源记录的变量数):无
附加信息:无。

相关主题