Wireshark抓包分析Wireshark抓包分析.doc

实验内容： 抓包分析 学生学号： ************* 学生姓名: ******** 专业班级： ****** 计算计学院 2012-6-20  HTTP 一、实验名称： 网络抓包分析HTTP协议请求、响应过程。 二、时间目的和内容： 内容：网络抓包分析HTTP协议请求、响应过程以及请求、响应的报文的格式。 目的：了解、熟悉网络抓包软件，掌握HTTP请求、响应的报文格式，分析、掌握HTTP请求、响应的过程。 三、实验数据及分析结果： 1、HTTP的请求报文格式和响应报文格式： 2、网络抓包截获的数据： ??HTTP的请求报文数据：所截获的HTTP的请求报文如下图所示： 主要的报文段为： Internet Protocol, Src: 9 (9), Dst: 5 Cache-control：no-cache\r\n Connection：keep-alive\r\n Cookie:rtime=1;ltime=1334408026756;cnzz-eid=8195232-1334323245-http%3 Host:\r\n Pragma:no-cache\r\n Range:bytes=203903-293887\r\n Referrer:http://hndx.sc. /flie/download/icon3\r\n User-agent:mozillla/4.0 分析：用GET方法向主机Host：hndx. sc. ，请求对象/ flie/download/icon3/2380.rar，浏览器实现的版本http/1.1（可打开数据包1查看更多报文）。 ??HTTP的报文数据： 主要报文段为： Internet protocol，src：6（6），dst：9（9） Transmission control protocol，src port：http （80），dst port：23234（23234），seq：6740，ack：2109，len：243 http/1.1 200 ok \r\n cache-control:private\r\n date:tue,17 apr 2012 13:03:06 GMT\r\n expires:tue,17 apr 2012 13:03:06 GMT\r\n content-encoding:gzip\r\n transfer-encoding:chunked\r\n serve:BWS/1.0\r\n connection:keep-alive\r\n\r\n 分析：由数据包可知此响应报文使用的是IPv4协议，头部长度为20个字节，其他信息如上。由报文段可知，百度回复对方请求成功，并发送多方要的数据。 ARP 一、实验名称： 网络抓包ARP协议并分析 二、时间目的和内容： 通过软件捕获网络流量，分析数据报结构，再通过捕获各个具体协议的通信数据包，一步一步具体分析其实现步骤，更加具体地掌握协议的实现过程。 三、网络抓包截获的数据： 1. 选择“捕获”――“定义过滤器”。 2. 在“定义过滤器”中，选择“文件”――“新建”。 3. 将这个文件命名为ARP，点击OK，然后点击“完成”。 4. 现在选择“高级”，从协议列表中选择ARP。 5. 点击OK，关闭定义过滤器窗口。已经定义了过滤器，可以按F10来捕获流量。 6. 输入arp －d IP 来清除默认网关上的ARP，这个命令中的IP是你的默认网关IP地址，然后Ping你的默认网关。 7. 停止捕获并打开代码窗口。至少会看到2个捕获到的帧(假设你可以连接到默认网关)。 8. 分析捕获到的结果(即解释数据包的内容和协议具体实现过程)。 从下面截图可以看出，可以分析ARP的工作过程：首先，在本局域网上的所有主机上运行的ARP进程都收到本机发送的ARP请求分组（从目标地址为Broadcast可以看出）。其次，从摘要中，PA=[29],可以看出ARP请求地址为29，而此IP地址的网络设备在ARP请求分组中见到自己的IP地址，就向本机发送ARP响应分组，并写于自己的硬件地址。至于在此ARP分组的其余的所有主机都不会理睬这个ARP请求分组。从以上可以分析，ARP请求分组是广播的，但ARP响应分组是单一的，即一对一。 一下对第一个ARP包进行分析。 第二行（Destination），6个字节，可以看出ARP包是采取广播方式，目标地址从下面的解码可以看