wireshark抓包分析.docVIP

用wireshark分析Http 和 Dns 报文 http请求报文和响应报文 wireshark所抓的一个含有http请求报文的帧： 帧的解释 链路层的信息上是以帧的形式进行传输的，帧封装了应用层、传输层、网络层的数据。而wireshark抓到的就是链路层的一帧。 图中解释： Frame 18： 所抓帧的序号是11，大小是409字节 Ethernet ： 以太网，有线局域网技术 ，属链路层 Inernet Protocol：即IP协议，也称网际协议，属网络层 Transmisson Control Protocol：即TCP协议，也称传输控制协议。属传输层 Hypertext transfer protocol：即http协议，也称超文本传 输协议。属应用层 图形下面的数据是对上面数据的16进制表示。 分析上图中的http请求报文 报文分析： 请求行： GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段 / URL字段 /http协议的版本 我们发现，报文里有对请求行字段的相关解释。该报文请求的是一个对象，该对象是图像。 首部行： Accept: */* Referer: / 这是网站网址 Accept-Language: zh-cn 语言中文 Accept-Encoding: gzip, deflate 可接受编码，文件格式 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE) 用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释 Host: 目标所在的主机 Connection: Keep-Alive 激活连接 在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名，比如下面http请求报文中橙黄色首部字段名： Accept: */* Referer: /thread-345413-1-1.html 这是html文件网址 Accept-Language: zh-cn 语言中文 Accept-Encoding: gzip, deflate 可接受编码，文件格式 If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT 内容是否被修改：最后一次修改时间 If-None-Match: 9a4041-197-2f11e280 关于资源的任何属性 （ ETags值） 在ETags的User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE) 用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释 Host: 目标所在的主机 Connection: Keep-Alive 激活连接 Cookie: cdb_sid=0Ocz4H; cdb_oldtopics=D345413D; cdb_visitedfid=17; __gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY24VDbjc1A cookie，允许站点跟踪用户，coolie ID是7ab350574834b14b 分析http的响应报文，针对上面请求报文的响应报文如下： wireshark对于2中http请求报文的响应报文： 展开http响应报文： 报文分析： 状态行： HTTP/1.0 200 OK 首部行： Content-Length: 159 内容长度 Accept-Ranges: byt