Wireshark抓包实例分析 (DNS和HTTP协议)

实验六利用W i r e s h a r k 分析协议H T T P文件编码（GHTU-UITID-GGBKT-POIU-WUUI-8968）实验六利用W i r e s h a r k分析协议H T T P 一、实验目的分析HTTP协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤1、利用Wireshark俘获HTTP分组（1）在进行跟踪之前，我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的，而不是从高速缓冲中取得的。

之后，还要在客户端清空DNS高速缓存，来确保Web服务器域名到IP地址的映射是从网络中请求。

在WindowsXP机器上，可在命令提示行输入ipconfig/flushdns(清除DNS解析程序缓存)完成操作。

（2）启动Wireshark 分组俘获器。

（3）在Web 浏览器中输入：（4）停止分组俘获。

图利用Wireshark俘获的HTTP分组在URL 中，是一个具体的web 服务器的域名。

最前面有两个DNS 分组。

第一个分组是将域名转换成为对应的IP 地址的请求，第二个分组包含了转换的结果。

这个转换是必要的，因为网络层协议——IP协议，是通过点分十进制来表示因特网主机的，而不是通过这样的域名。

当输入URL http：//时，将要求Web服务器从主机上请求数据，但首先Web 浏览器必须确定这个主机的IP地址。

随着转换的完成，Web浏览器与Web服务器建立一个TCP连接。

最后，Web 浏览器使用已建立好的TCP连接来发送请求“GET/HTTP/1.1”。

这个分组描述了要求的行为（“GET”）及文件（只写“/”是因为我们没有指定额外的文件名），还有所用到的协议的版本（“HTTP/1.1”）。

2、HTTP GET/response交互（1）在协议框中，选择“GET/HTTP/1.1” 所在的分组会看到这个基本请求行后跟随着一系列额外的请求首部。

用wireshark分析Http 和Dns 报文一、http请求报文和响应报文wireshark所抓的一个含有http请求报文的帧：1、帧的解释链路层的信息上是以帧的形式进行传输的，帧封装了应用层、传输层、网络层的数据。

而wireshark抓到的就是链路层的一帧。

图中解释：Frame 18：所抓帧的序号是11，大小是409字节Ethernet ：以太网，有线局域网技术，属链路层Inernet Protocol：即IP协议，也称网际协议，属网络层Transmisson Control Protocol：即TCP协议，也称传输控制协议。

属传输层Hypertext transfer protocol：即http协议，也称超文本传输协议。

属应用层图形下面的数据是对上面数据的16进制表示。

2、分析上图中的http请求报文报文分析：请求行：GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本我们发现，报文里有对请求行字段的相关解释。

该报文请求的是一个对象，该对象是图像。

首部行：Accept: */*Referer: /这是网站网址Accept-Language: zh-cn 语言中文Accept-Encoding: gzip, deflate 可接受编码，文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释Host: 目标所在的主机Connection: Keep-Alive 激活连接在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名，比如下面http请求报文中橙黄色首部字段名：Accept: */*Referer: /thread-345413-1-1.html这是html文件网址Accept-Language: zh-cn 语言中文Accept-Encoding: gzip, deflate 可接受编码，文件格式If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT 内容是否被修改：最后一次修改时间If-None-Match: "9a4041-197-2f11e280" 关于资源的任何属性（ET ags值）在ETags的值中可以体现，是否改变User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释Host: 目标所在的主机Connection: Keep-Alive 激活连接Cookie: cdb_sid=0Ocz4H; cdb_oldtopics=D345413D; cdb_visitedfid=17; __gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY 24VDbjc1Acookie，允许站点跟踪用户，coolie ID是7ab350574834b14b3、分析http的响应报文，针对上面请求报文的响应报文如下：wireshark对于2中http请求报文的响应报文：展开http响应报文：报文分析：状态行：HTTP/1.0 200 OK首部行：Content-Length: 159 内容长度Accept-Ranges: bytes 接受范围Server: nginx 服务器X-Cache: MISS from 经过了缓存服务器Via::80(squid/2.6.STABLE14-20070808) 路由响应信息Date: Fri, 22 Oct 2010 12:09:42 GMT 响应信息创建的时间Content-Type: image/gif 内容类型图像Expires: Fri, 22 Oct 2010 12:10:19 GMT 设置内容过期时间Last-Modified: Fri, 11 Jun 2010 00:50:48 GMT 内容最后一次修改时间Powered-By-ChinaCache:PENDING from CNC-BJ-D-3BA ChinaCache的是一家领先的内容分发网络（CDN）在中国的服务提供商。

实验七利用Wireshark分析DNS协议一、实验目的分析DNS协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤nslookup工具允许运行该工具的主机向指定的DNS服务器查询某个DNS记录。

如果没有指明DNS服务器，nslookup将把查询请求发向默认的DNS服务器。

其命令的一般格式是：(请在实验中将该例中的改为, 改为并写到实验报告中！)nslookup –option1 –option2 host-to-find dns-server1、打开命令提示符（Command Prompt），输入nslookup命令。

图中显示三条命令，第一条命令：nslookupwww.tu “提出一个问题”即：“将主机的IP地址告诉我”。

屏幕上出现了两条信息：（1）“回答这一问题”DNS服务器的名字和IP地址；（2）主机名字和IP地址。

第二条命令：nslookup –type=NS 在这个例子中，我们提供了选项“-type=NS”，域为。

执行这条命令后，屏幕上显示了DNS服务器的名字和地址。

接着下面是三个TUST DNS服务器，每一个服务器是TUST校园里缺省的DNS服务器。

第三条命令：nslookup 在这个例子中，我们请求返回 DNS server 而不是默认的DNS服务器()。

此例中，DNS 服务器提供主机的IP地址。

2、ipconfigipconfig用来显示TCP/IP 信息, 你的主机地址、DNS服务器地址，适配器等信息。

如果你想看到所有关于你所在主机的信息，可在命令行键入：ipconfig /allipconfig在管理主机所储存的DNS信息非常有用。

如果查看DNS缓存中的记录用命令：ipconfig /displaydns要清空DNS缓存，用命令：ipconfig /flushdns3、利用Wireshark捕获DNS信息（1）利用ipconfig /flushdns命令清空你的主机上的DNS缓存。

Wireshark抓包实验⼀、实验名称利⽤Wireshark抓包并分析 TCP/IP 协议⼆、实验⽬的通过实验，了解和掌握报⽂捕获⼯具 Wireshark 的使⽤⽅法和基本特点，使⽤ Wireshark 捕获⽹络报⽂，并分析各种⽹络协议的报⽂格式和⼯作过程。

三、实验内容使⽤ Wireshark 捕获⽹络报⽂，分析以太⽹、ARP、IP、TCP、DNS 和 HTTP 等协议的报⽂格式和⼯作过程。

四、实验步骤DNS分析在 cmd 下运⾏：nslookup –type=Anslookup –type=NS nslookup –type=MX nslookup –type=A 然后⽤Wireshark捕获报⽂并分析DNS和UDP协议的报⽂格式和⼯作过程。

ICMP分析在cmd下运⾏pingtracert然后⽤Wireshark捕获报⽂并分析 ICMP 报⽂格式和⼯作过程。

TCP/IP分析a) 在浏览器输⼊ ⽹址后，然后⽤ Wireshark 捕获报⽂并分析HTTP，TCP，IP，ARP和以太⽹等协议的报⽂格式和⼯作过程。

b) 运⾏各⾃编写的 UDP 和 TCP 客户/服务器程序并进⾏抓包分析。

五、实验结果及分析（⼀）DNS分析通过ipconfig命令查看IP、⽹关地址IP地址192.168.43.217默认⽹关192.168.43.1DNS报⽂格式DNS分析⼤体相同，就选择其⼀进⾏分析1.在cmd下运⾏nslookup -type=A ⾮权威应答：110.53.188.133 113.247.230.248 202.197.9.133应答服务器地址为192.168.43.1，为默认⽹关地址利⽤wireshark进⾏抓包分析，筛选DNS报⽂，本次运⾏有4个DNS报⽂，可以看出对应请求包和响应包的源IP与⽬的IP刚好相反。

Query这是⼀个请求报⽂。

⾸先主机发送⼀个 DNS 报⽂。

DNS 采⽤ UDP 协议⽀持。

实验七利用分组嗅探器（Wireshark）分析协议HTTP和DNS一、实验目的1、分析HTTP协议2、分析DNS协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为Windows；Wireshark、IE 等软件。

三、实验步骤1、HTTP GET/response交互首先通过下载一个非常简单的HTML文件（该文件非常短，并且不嵌入任何对象）。

(1)启动Web browser。

(2)启动Wireshark分组嗅探器。

在窗口的显示过滤说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。

(3)一分钟以后，开始Wireshark分组俘获。

(4)在打开的Web browser窗口中输入一下地址（浏览器中将显示一个只有一行文字的非常简单的HTML文件）：/ethereal-labs/HTTP-ethereal-file1.html(5)停止分组俘获。

图1分组俘获窗口2、HTTP 条件GET/response交互(1)启动浏览器，清空浏览器的缓存（在浏览器中，选择“工具”菜单中的“Internet选项”命令，在出现的对话框中，选择“删除文件”）。

(2)启动Wireshark分组俘获器。

开始Wireshark分组俘获。

(3)在浏览器的地址栏中输入以下URL:/ethereal-labs/HTTP-ethereal-file2.html 你的浏览器中将显示一个具有五行的非常简单的HTML文件。

(4)在你的浏览器中重新输入相同的URL或单击浏览器中的“刷新”按钮。

(5)停止Wireshark分组俘获，在显示过滤筛选说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。

3、获取长文件(1)启动浏览器，将浏览器的缓存清空。

(2)启动Wireshark分组俘获器。

开始Wireshark分组俘获。

(3)在浏览器的地址栏中输入以下URL:/ethereal-labs/HTTP-ethereal-file3.html 浏览器将显示一个相当大的美国权力法案。

Wireshark抓包实例分析通信工程学院010611班赖宇超01061093一．实验目的1.初步掌握Wireshark的使用方法，熟悉其基本设置，尤其是Capture Filter和Display Filter 的使用。

2.通过对Wireshark抓包实例进行分析，进一步加深对各类常用网络协议的理解，如：TCP、UDP、IP、SMTP、POP、FTP、TLS等。

3.进一步培养理论联系实际，知行合一的学术精神。

二．实验原理1.用Wireshark软件抓取本地PC的数据包，并观察其主要使用了哪些网络协议。

2.查找资料，了解相关网络协议的提出背景，帧格式，主要功能等。

3.根据所获数据包的内容分析相关协议，从而加深对常用网络协议理解。

三．实验环境1.系统环境：Windows 7 Build 71002.浏览器：IE83.Wireshark：V 1.1.24.Winpcap：V 4.0.2四．实验步骤1.Wireshark简介Wireshark（原Ethereal）是一个网络封包分析软件。

其主要功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

其使用目的包括：网络管理员检测网络问题，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的相关知识……当然，有的人也会用它来寻找一些敏感信息。

值得注意的是，Wireshark并不是入侵检测软件（Intrusion Detection Software,IDS）。

对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。

然而，仔细分析Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。

Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。

Wireshark本身也不会送出封包至网络上。

2.实例实例1：计算机是如何连接到网络的？一台计算机是如何连接到网络的？其间采用了哪些协议？Wireshark将用事实告诉我们真相。

实验七利用分组嗅探器（Wireshark）分析协议HTTP和DNS一、实验目的1、分析HTTP协议2、分析DNS协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为Windows；Wireshark、IE 等软件。

三、实验步骤1、HTTP GET/response交互首先通过下载一个非常简单的HTML文件（该文件非常短，并且不嵌入任何对象）。

(1)启动Web browser。

(2)启动Wireshark分组嗅探器。

在窗口的显示过滤说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。

(3)一分钟以后，开始Wireshark分组俘获。

(4)在打开的Web browser窗口中输入一下地址（浏览器中将显示一个只有一行文字的非常简单的HTML文件）：/ethereal-labs/HTTP-ethereal-file1.html(5)停止分组俘获。

图1分组俘获窗口2、HTTP 条件GET/response交互(1)启动浏览器，清空浏览器的缓存（在浏览器中，选择“工具”菜单中的“Internet选项”命令，在出现的对话框中，选择“删除文件”）。

(2)启动Wireshark分组俘获器。

开始Wireshark分组俘获。

(3)在浏览器的地址栏中输入以下URL:/ethereal-labs/HTTP-ethereal-file2.html 你的浏览器中将显示一个具有五行的非常简单的HTML文件。

(4)在你的浏览器中重新输入相同的URL或单击浏览器中的“刷新”按钮。

(5)停止Wireshark分组俘获，在显示过滤筛选说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。

3、获取长文件(1)启动浏览器，将浏览器的缓存清空。

(2)启动Wireshark分组俘获器。

开始Wireshark分组俘获。

(3)在浏览器的地址栏中输入以下URL:/ethereal-labs/HTTP-ethereal-file3.html 浏览器将显示一个相当大的美国权力法案。