1、實訓TCP HTTP-用 WireShark 分析 IP、作者:日期:21計算機學院網(wǎng)絡(luò)工程2012 (1)班 學號：3112006354姓名：詹德超實訓用 WireShark 分析 IP、TCP、HTTP、實驗目的1. 分析HTTP協(xié)議報文的首部格式，理解HTTP協(xié)議的工作過程。2. 用Wireshark捕獲和分析 HTTP報文。、實驗設(shè)備1. 接入In ternet的計算機主機;2. 抓包工具WireShark。、實驗內(nèi)容1. HTTP協(xié)議簡介HTTP是超文本傳輸協(xié)議(Hyper Text Transfer Protocol)的縮寫，用于 WWWM務(wù)。(1) HTTP的工作原理HTTP 是

2、一個面向事務(wù)的客戶服務(wù)器協(xié)議。盡管HTTP使用TCP作為底層傳輸協(xié)議，但TCP連接，而當事務(wù)結(jié)束時就釋放這個連接。此外， 80端口)之間建立多個連接。其工作過程包括以下幾個服務(wù)器監(jiān)聽TCP端口 80， 一旦監(jiān)聽到連接請求，立即建立連接。瀏覽器向服務(wù)器發(fā)出瀏覽某個頁面的請求，服務(wù)器接著返回所請求的頁面作為響應。釋放TCP連接。HTTP協(xié)議是無狀態(tài)的。也就是說，每個事務(wù)都是獨立地進行處理。當一個事務(wù)開始時，就 在萬維網(wǎng)客戶和服務(wù)器之間建立一個 客戶可以使用多個端口和服務(wù)器( 階段。以便發(fā)現(xiàn)是否有瀏覽器 (客戶進程)向它發(fā)出連接請求;在瀏覽器和服務(wù)器之間的請求和響應的交互，必須遵循HTT P規(guī)定的格

3、式和規(guī)則。當用戶在瀏覽器的地址欄輸入要訪問的HTT P服務(wù)器地址時，瀏覽器和被訪問HTT P服務(wù)器的工作過程如下： 瀏覽器分析待訪問頁面的 URL并向本地DNS服務(wù)器請求IP地解析； DNS服務(wù)器解析出該 HTTP服務(wù)器的IP地址并將IP地址返回給瀏覽器； 瀏覽器與HTTP服務(wù)器建立TCP連接，若連接成功，則進入下一步； 瀏覽器向HTTP服務(wù)器發(fā)出請求報文(含GET信息),請求訪問服務(wù)器的指定頁面； 服務(wù)器作出響應，將瀏覽器要訪問的頁面發(fā)送給瀏覽器，在頁面?zhèn)鬏斶^程中，瀏覽 器會打開多個端口，與服務(wù)器建立多個連接；釋放TCP連接；瀏覽器收到頁面并顯示給用戶。(2)HTT P報文格式HTT P有兩

4、類報文：從客戶到服務(wù)器的請求報文和從服務(wù)器到客戶的響應報文。圖顯示了兩種報文的結(jié)構(gòu)。A盤VRL怯祎部7以名：1迫fln7： J'汨;；HTTP曲詁求報文熱:構(gòu)圖1 HTTP的請求報文和響應報文結(jié)構(gòu)在圖1中，每個字段之間有空格分隔，每行的行尾有回車換行符。各字段的意義如下：“GET,表示請求讀取一個萬維網(wǎng)的頁面。常用的方法 ”和“ POST（請求接受所附加的信息）； 這時因為在建立TCP連接時已經(jīng)有了主機名；“HTT P/1.1 ”。 請求行由三個字段組成：* 方法字段，最常用的方法為 還有 “ HEAD（指讀取頁面的首部）* URL字段為主機上的文件名，* 版本字段說明所使用的HTT

5、P協(xié)議的版本，一般為 狀態(tài)行也有三個字段：* 第一個字段等同請求行的第三字段；* 第二個字段一般為“ 200 ”，表示一切正常，狀態(tài)碼共有41種，常用的有：301 （網(wǎng)站已轉(zhuǎn)移），400 （服務(wù)器無法理解請求報文），404 （服務(wù)器沒有鎖請求的對象）等；* 第三個字段時解釋狀態(tài)碼的短語。 根據(jù)具體情況，首部行的行數(shù)是可變的。請求首部有Accept字段，其值表示瀏覽等字表示器可以接受何種類型的媒體；Acce pt-la nguage，其值表示瀏覽器使用的語言；User-age nt表 明可用的瀏覽器類型。響應首部中有Date、Server、Content-Type、Content-Length段

6、。在請求首部和響應首部中都有Conn ection字段，其值為 Kee p-Alive 或Close ，服務(wù)器在傳送完所請求的對象后是保持連接或關(guān)閉連接。方法 若請求報文中使用“GET方法，首部行后面沒有實體主體，當使用“POST是，附加的信息被填寫在實體主體部分。在響應報文中，實體主體部分為服務(wù)器發(fā)送給客戶的對象。圖2和圖3顯示了 Wireshark捕獲的HTTP請求和響應報文，結(jié)合上面的介紹，請自 己分析和體會。nr； 皿： Jjjta （丄jtB）, Ditsto atau：, naq： i, 心丄，Lwn: zU -L： 引二£UlLPu- =工円反百ih"二已斗：

7、73, R.k ：三7耳 LtJI；弓"IT3.實驗步驟1、簡單網(wǎng)頁捕獲與分析。實驗步驟1：在PC機上運行 Wireshark，開始截獲報文;步驟瀏覽器中將顯示一個只有一行或多行文字的非常簡單的HTML文 件。WIW圖rHHi刪恥JW廂 wyacrtCKt irinfer Proicol二 SE7 廠jpQ nirp/i.lVAeciet METzhEd: get能cpE蘭t lR；:2_£.1tch.JpcPtqJc= L <era uii： hTTP/L.Licrep*: 2嚴、叭戶npfarpr： l-irp;/19；.16e.L.30;Ei05DArMActe

8、pc -Lirquage： 2ri-cnfnirr*pfT -Fnrfldlngr 3門戶，倚'"ig 刊代 Mnyql 仏/iko Ccciup ilTibl®； UPF 6.0； 滬-ificftvl KT JI; Wl； . hFT CLP 1.1.4- nlmt; 1 cc 3.1.30； aC3Cirn-ni-inot -ID n : vaa p-Al t j arn|'V圖2 HTTP請求報文示例nrniwiiiBMnnwnmnwwil-.工 屮*4"«*£'下¥ ie牛當 i*tJ C7Ca9B/

9、CS3>； +14上 11川工宴町，3d?（513J, *乂&丄丄；1，4二二（3口12. rI.）Hypm iriricfb rvcTnajl=rfTTP/l.O 200 ?Krn wrilcfi; Hll k-l. Jwie； Mom Oi Mir 1?WLrxrrServer ; start iff TP 5crvzr/l, rnC D rt M itr 1（rCDnent-lenotn: 7515Vtexpires: Thu, 16 F由 1535 CO:汕：CO aJirrnnrit jpfQ *11* jrTiT pre hangs pirmc圖3 HTTP響應報文示

10、例2 .實驗環(huán)境與說明(1)實驗目的在PC機上訪問 Web頁面，截獲報文，分析 HTTP協(xié)議的報文格式和 HTTP協(xié)議的工作 過程。(2) 實驗設(shè)備和連接本地實驗室環(huán)境，無須設(shè)備連接；注意：請通過訪問可以連接的WW站點或使用IIS建立本地WWV服務(wù)器來進行實驗。2:打開瀏覽器，清空瀏覽器的緩存。從瀏覽器上訪問下列 URL地址。打開網(wǎng)頁, 待瀏覽器的狀態(tài)欄出現(xiàn)“完畢”信息后關(guān)閉網(wǎng)頁。/CurrQstats.txt10test1 保存。步驟3:停止截獲報文，將截獲的報文命名為 分析截獲的報文，回答以下幾個問題：HTT P報文?(1) 綜合分析截獲的報文

11、，查看有幾種 答：有兩類報文：從客戶到服務(wù)器的請求報文和從服務(wù)器到客戶的響應報文。(2) 在截獲的HTTP報文中，任選一個HTTP請求報文和對應的 HTTP應答報文，仔細分析它們的格式，填寫表1和表2。從應用層分析報文格式表1 HTT P請求報文格式方法GET版本HTTP/1.1URL/CurrQstats.txt首部字段名字段值字段所表達的信息Acce pt*/*瀏覽器支持的媒體類型為*/*Acce pt-E ncodi nggzip, deflate支持的編碼類型User-Age ntUser-Age nt: Mozilla/4.0(com patible; MSIE 7.0; Win d

12、ows NT6.1; Tride nt/5.0; SLCC2; .NET CLR2.0.50727; .NET CLR 3.5.30729; .NETCLR 3.0.30729; .NET CLR3.0.4506.2152; .NET4.0C; .NET4.0E)使用的用戶代理 Mozilla/4.0H請求的服務(wù)地址ConnectionKeep-Alive連接類型為：持久連接表2 HTTP應答報文格式版本HTT P/1.1狀態(tài)碼200短語OK首部字段名字段值字段所表達的信息DateFri, 11 Dec 2015 01:46:46 GMT報文創(chuàng)建時間S

13、erverApache服務(wù)器為ApacheLast-ModifiedTue, 08 Dec 2015 07:20:02 GMT瀏覽器當前資源最后緩存時間ETag"7a3d0e-502-5265dcd5f9280"緩存相關(guān)的頭Acce pt-Ra ngesbytes單位Conten t-Le ngth1282實體內(nèi)容長度Keep-Alivetimeout=15, max=99保持多長時間Conn ecti onKeep-Alive保持持久連接Conten t-T ypetext/plai n告訴瀏覽器回送數(shù)據(jù)類型3中。(3) 分析在截獲的報文中，客戶機與服務(wù)器建立了幾個連接？

14、服務(wù)器和客戶機分別 使用了哪幾個端口號？HTT P客戶機端口號HTT P服務(wù)器端口號所包括的報文號步驟說明305080140客戶端發(fā)起tcp請求客戶機：3505服務(wù)器：80(4)綜合分析截獲的報文，理解HTTP協(xié)議的工作過程，將結(jié)果填入表表3 HTTP協(xié)議工作過程305080144服務(wù)器應答tcp請求305080145客戶端第三次握手305080146發(fā)送httP請求報文305080157服務(wù)器回應http請求FIN報文。(4) 分析此次頁面獲取過程中建立了幾次TCP鏈接，此鏈接是否釋放了。答：并沒有釋放連接；沒有發(fā)送 實驗2、超媒體頁面捕獲與分析啟動瀏覽器，將瀏覽器的緩存清空。啟動WireS

15、hark分組俘獲器。開始 WireShark分組俘獲。(3)個內(nèi)嵌對象即可)。在瀏覽器的地址欄中輸入某個地址，(需要滿足該地址下的網(wǎng)頁是包含多(4) 停止WireShark分組俘獲，將捕獲結(jié)果保存為test2(5) 重新啟動 Webbrowser。啟動 WireShark分組俘獲器,Web browser當中重新輸入相同的URL或單擊瀏覽器中的“刷新”進行分組捕獲。在 按鈕。(6)步驟同(5)。將捕獲結(jié)果保存為test3。根據(jù)操作回答下面的問題。(1)填寫瀏覽器的輸入的 URL地址。在命令行輸入ipcon fig/flushd ns 完成操作URL 地址： (2)分析test2的捕獲文件，你的

16、瀏覽器一共發(fā)出了多少個每個GET請求的對象是什么？這些請求被發(fā)送到的目的地的HTT P GET請求,IP地址是多少？序號GET的對象目的地的IP地址與此GET請求相 對應的響應報文 的狀態(tài)碼25/020038/img/baidu sylogo.gif020039/cache/global/img/gs.gif020045/r/www/cache/sug/js/bdsug-1.1.js0820050/r/www/cache/sug/js/h ps-1.5.js0820056/r

17、/www/img/i-1.0.0. png08200111/favic on .ico0200(3)分析你的瀏覽器向服務(wù)器發(fā)出的第一個HTTP GET!求的內(nèi)容，在該請求報文中，是否有一行是：IF-MODIFIED-SINCE ?分析服務(wù)器響應報文的內(nèi)容， 是否明確返回了文件的內(nèi)容？如何獲知？服務(wù)器If-Modified-Since是標準的HTTP請求頭標簽，在發(fā)送 HTTP請求時，把瀏覽器端緩存頁面的最后修改時間一起發(fā)到服務(wù)器去，服務(wù)器會把這個時間與服務(wù)器上實際文件的最后修改時間進行比較。如果時間一致，那么返回 HTTP狀態(tài)碼304 (不返回文件內(nèi)容)，客戶端接到之后, 就直接把本地緩存文件顯示到瀏覽器中。如果時間不一致，就返回HTTP狀態(tài)碼200和新的文件內(nèi)容，客戶端接到之后，會丟棄舊文件，把新文件緩存起來，并顯示到瀏覽器中。（4）分析捕獲文件test3分析你的瀏覽器向服務(wù)器發(fā)出的第二個“HTTP GET請求，在該請求報文中是否有一行是：IF-MODIFIED-SINCE?如果有，在該首部行后面跟著的信息是什么？沒有，是最新的緩存，服務(wù)器