Wireshark抓HTTP数据包实例分析.docxVIP

Wireshark抓HTTP数据包实例分析 实验目的： 使用wireshark抓包工具抓取一个应用层协议的包，描述抓包实验过程，并详细分析其应用层、传输层、网络层、数链层数据。 实验环境： 本机MAC地址为：74-27-EA-E4-10-00 系统环境：Windows 10 浏览器：IE 抓包工具：wireshark 实验步骤： 通过命令提示符中ping命令获取百度的ip的地址25 (如下图)： 获取百度的ip后，打开wireshark然后，从接口中选出网卡，在此我选择的以太网，然后点击start： c．然后打开浏览器输入百度，打开百度首页； d．在wireshark中的显示过滤器中输入http and ip.addr == 25 and tcp.port == 80对所抓的信息进行过滤(如下图)： 实验结果分析： 图1 数据链路层数据分析(图1)： 目标MAC地址： Cisco_3d:4c:00 ( 00:1f:26:3d:4c:00) 本机MAC地址： Elitegro_e4:10:00(74:27:ea:e4:10:00) Type: IP (0x0800) Type：2个字节，用来指出以太网帧内所含的上层协议。即帧格式的协议标识符。对于IP报文来说，该字段值是0x0800。对于ARP信息来说，以太类型字段的值是0x0806。 (图2) 网络层分析(图2)： Version :互联网协议IPv4 (IP版本号) IP包头部长度：20bytes? (32位字的报头长度(HLEN)。20字节的时候二进制表示形式0101（十进制5），5*4=20字节。最长（1111）15*4=60字节。) 差分服务字段：0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport)) (服务类型描述数据报将如何被处理。前3位表示优先级位。前三位如下： 000 普通 (Routine) 001 优先的 (Priority) 010 立即的发送 (Immediate) 011 闪电式的 (Flash) 100 比闪电还闪电式的 (Flash Override) 101 CRI/TIC/ECP 110 网间控制 (Internetwork Control) 111 网络控制 (Network Control) 后五位如下： D 时延: 0:普通 1:尽量小 T 吞吐量: 0:普通 1:尽量大 R 可靠性: 0:普通 1:尽量大 M 传输成本: 0:普通 1:尽量小 0 最后一位被保留，恒定为0) IP包的总长度：347 (包括报头和数据的数据包长度) 标志字段： 0x69cc(27084) (长度16比特。该字段和Flags和Fragment Offest字段联合使用，对大的上层数据包进行分段（fragment）操作。路由器将一个包拆分后，所有拆分开的小包被标记相同的值，以便目的端设备能够区分哪个包属于被拆分开的包的一部分。) 标记字段：0x02 (Dont Fragment) (长度3比特标志。该字段第一位不使用。第二位是DF（Dont Fragment）位，DF位设为1时表明路由器不能对该上层数据包分段。如果一个上层数据包无法在不分段的情况下进行转发，则路由器会丢弃该上层数据包 并返回一个错误信息。第三位是MF（More Fragments）位，当路由器对一个上层数据包分段，则路由器会在除了最后一个分段的IP包的包头中将MF位设为1。) 片段偏移量： 0 (分段偏移长度13比特。表示该IP包在该组分片包中位置，接收端靠此来组装还原IP包。) 生存期TTL： 64 (存活期是在数据包产生时建立在其内部的一个设置。如果这个数据包在这个TTL到期时仍没有到达它要去的目的地，那么它将被丢弃。这个设置将防止IP包在寻找目的地的时候在网络中不断循环。) 此包内封装的上层协议为TCP：TCP (6) 头部数据的校验和： 0x0000 [validation disabled] 源IP地址： 4 目的IP地址： 25 (图3) 传输层分析(图3)： 源端口号： 49394(49394) (每个UDP段都包含源端和目的端的端口号，用于寻找发起端和拉收端应用进程。 ) 目标端口号： http(80)