当前位置:文档之家› Wireshark抓包实例分析 (DNS和HTTP协议)

Wireshark抓包实例分析 (DNS和HTTP协议)

图三
图一的第二个包即为回答 报文,格式与查询报文类似(如 图四所示),在此不做详细介绍, 但 特 别 说 明 一 点 type 类 型 为 CNAME , 说 明 规 范 主 机 名 为 a.l.xiaonei.com , IP 地 址 : 58.205.210.233,58.205.210.234, 58.205.210.235,58.205.210.236, 58.205.210.237。
图四
1、HTTP 分析
在获得了要请求网页所在主机的 IP 后,本地 PC 将作为客户机向服务器发起 TCP 连接请求,连接请求建立成功后,客户机即可向服务器返回确认,这就是俗 称的“三次握手”过程。
图五
该图片上标号为 4,6,7 和 5,8,9 分别为一个三次握手过程,通过查看 Packet Details 面板中信息可知,源端口号分别为 csnotify(2955)和 ovrimosdbman(2956), 目的端口均为 80,至于为什么要建立两个连接,我不知道原因,也没有查到相 关资料。以第二个连接为例,第 5 帧为客户机向服务器发起请求,第 8 帧为服务 器作出确认 和响应,第 9 帧为客户机 向服务器服
······第 1 页 ······第 2 页
·····第 3 页 ·····第 3 页 ·····第 3 页 ·····第 3 页 ·····第 3 页 ·····第 4 页 ·····第 4 页 ·····第 4 页 ···第 4—5 页 ···第 6—7 页 ·····第 7 页 ······第 7 页
图二
其中,第一行为该包的信息,第二行为以太网,属于链路层,第三行为 IP 协 议,属于网络层(源 IP 与目的 IP 显示在该行),第四行为 UDP 协议,属于传输 层,第五行为 DNS 的有关数据。下面将通过图三详细分析 DNS 报文的内容。
这是一个请求查询 的报文(0),该报文没有 被删节,采用的是递归调 用的查询,问题数为 1, 回答 RR 数,权威 RR 数 以及附加 RR 数均为 0。 在问题区域显示了名字 字段与被查询的问题类 型 A(即主机地址)。
“WireShark: 抓包选项”窗口中可以设置分组捕获的选项。 (4) 在这次实验中,使用窗口中显示的默认值。选择“抓包”下拉菜单中的
“网络接口”命令,显示计算机中所安装的网络接口(即网卡)。我们需 要选择电脑真实的网卡,点击后显示本机的 IP 地址。 (5) 随后,点击“开始”则进行分组捕获,所有由选定网卡发送和接收的分 组都将被捕获。 (6) 待捕获一段时间,关闭浏览器,选择主窗口中有的“stop”按钮,可以 停止分组的捕获。 (7) 选择“文件”下拉菜单中的“另存为”,保存到我的文档中。
内容
(一)实验背景介绍
Wireshark 简介 Wireshark(原 Ethereal)是目前最流行的一款网络封包分析软件。其主要功 能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。通常用于网络管 理员检测网络问题,网络安全工程师检查资讯安全相关问题,开发者为新的通讯 协定除错,普通使用者学习网络协议的相关知识等等。 Wireshark 不会对网络封包产生内容的修改,它只会反映出目前流通的封包 资讯。 仔细分析 Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚 的了解。另外,Wireshark 本身并不会送出封包至网络上。
表单数据以及浏览记录等等。 3、单击开始,打开运行,输入'cmd',输入命令'ipconfig/flushdns',回车,即
可看到成功刷新 DNS 缓存的显示。
2、WireShark 的使用
(1) 启动 WireShark。 (2) 启动 PC 上的 IE 浏览器。 (3) 开始分组捕获:选择“抓包”下拉菜单中的“抓包参数选择”命令,在
(六)实验结果分析 1、DNS 分析
如图一所示,是输入“www.renren.com”并回车后 Wireshark 采集到的 只取 DNS 协Baidu Nhomakorabea的几帧。
图一
由图易分析得,本地 PC 向 IP 地址为 202.112.14.151 的服务器发出了域 名解析的请求,而且采用了递归的查询方法。选中该图片上的第 1 帧,在 Packet Details 面板中(如图二所示)可看到这个包中封装的信息。
由于自身能力和时间的限制,对更加细节的流程把握的不是很好, 希望能够随着今后对课程体系更深入的学习能有进一步的改进。
(八)参考资料
《计算机科学网络 自顶向下的方法》 第四版 陈鸣 译 《WireShark 教程用户使用手册》 《学习用 wireshark 进行抓包分析》 罗小嘉
图七
服务器的 响应报文如图 七所示:虚线上 的那一行为初 始状态行,接下 来的六行为首 部行。
图八
客 户 机 通 过 分 析 html 文 件,继续向服务器发起连接,并 且携带 Cookie ID 信息,如图九 虚线行所示。
(七)实验总结
经过本次实验的我学会了如何使用 WireShark 进行基本的数据的抓 取,以及对数据包的简单分析,加深了对常用网络协议 DNS 和 HTTP 的理解,对 TCP 和 UDP 的报文结构有了更多的了解。
(二)实验目的及任务
1、熟悉并掌握 WireShark 的基本操作,了解网络协议实体间的交互以及报 文交换。
2、通过对 WireShark 抓包实例进行分析,进一步加深对常用网络协议的理 解,如 DNS 和 HTTP 协议。
3、培养理论联系实践的科学研究精神。
(三)实验环境
1、系统环境:Windows 7 2、浏览器:IE9 3、WireShark:win32-1.4.9 中文版 4、Winpcap:v4.1.2
Wireshark 抓包实例分析
姓名: 学号:2010001020005 任务分配日期:2012.10.9 课程名称:计算机网络技术基础
目录
一、封面 二、目录 三、内容
(一)实验背景介绍 (二)实验目的及任务 (三)实验环境 (四)实验原理 (五)实验步骤
1、实验前的准备工作 2、WireShark 的使用 (六)实验结果分析 1、DNS 分析 2、HTTP 分析 (七)实验总结 (八)参考资料
图六
务器返回确 认。第 10 帧则为一个 HTTP 请求,其请求报文如图六所示,虚线下的那一行为 请求行,后继的行为首部行。显然可见,HTTP 使用传输层协议是 TCP,方法字 段大多数为 GET(经过筛选如图八所示仅有第 516 帧使用 POST),还显示了接 受的文件类型 text/html,接受语言为中文,浏览器类型 User-Agent 以及使用持久 连接。
(四)实验原理
1、利用 Wireshark 软件抓取本地 PC 的数据包,观察其主要使用的网络协议。 2、根据所获数据包的内容分析相关协议,从而加深对 DNS 和 HTTP 网络协
议的理解。
(五)实验步骤
1、实验前的准备工作
1、关闭所有可能会请求网络的文件以及程序。 2、打开浏览器,在工具栏 Internet 选项中选择删除所有的 Cookie、临时文件、
相关主题