實(shí)驗(yàn)1 Wireshark協(xié)議分析-HTTP協(xié)議

1、實(shí)驗(yàn)二 利用Wireshark分析協(xié)議HTTP一、實(shí)驗(yàn)?zāi)康姆治鯤TTP協(xié)議二、實(shí)驗(yàn)環(huán)境與因特網(wǎng)連接的計(jì)算機(jī)，操作系統(tǒng)為Windows，安裝有Wireshark、IE等軟件。三、實(shí)驗(yàn)步驟1、利用Wireshark俘獲HTTP分組（1）在進(jìn)行跟蹤之前，我們首先清空Web 瀏覽器的高速緩存來(lái)確保Web網(wǎng)頁(yè)是從網(wǎng)絡(luò)中獲取的，而不是從高速緩沖中取得的。打開瀏覽器，找到Internet選項(xiàng)，點(diǎn)擊后出現(xiàn)如圖1所示的界面。以IE瀏覽器為例，步驟為：點(diǎn)擊瀏覽器右上角的“工具”-“Internet選項(xiàng)”。圖1 Internet選項(xiàng)之后，還要在客戶端清空DNS高速緩存，以確保Web服務(wù)器域名到IP地址的映射是從網(wǎng)絡(luò)

2、中請(qǐng)求的。在Windows系列的機(jī)器上，可在命令提示行輸入ipconfig/flushdns完成操作（如圖2所示）；具體步驟及Linux、MAC等系統(tǒng)的清空方法請(qǐng)參見：圖2 命令提示行輸入ipconfig/flushdns完成操作（2）啟動(dòng)Wireshark 分組俘獲器。（3）在Web 瀏覽器中輸入： (重慶大學(xué)網(wǎng)站)。（4）停止分組俘獲。圖3 利用Wireshark俘獲的HTTP分組在URL 中，是一個(gè)具體的web 服務(wù)器的主機(jī)名。最前面有兩個(gè)DNS分組。第一個(gè)分組是將主機(jī)名 轉(zhuǎn)換成為對(duì)應(yīng)的IP 地址的請(qǐng)求，第二個(gè)分組包含了轉(zhuǎn)換的結(jié)果。這個(gè)轉(zhuǎn)換是必要的，因?yàn)榫W(wǎng)絡(luò)層協(xié)議IP協(xié)議，是通過點(diǎn)分十進(jìn)

3、制來(lái)表示因特網(wǎng)主機(jī)的，而不是通過 這樣的主機(jī)名。當(dāng)輸入U(xiǎn)RL 時(shí)，將要求Web服務(wù)器從主機(jī) 上請(qǐng)求數(shù)據(jù)，但首先Web瀏覽器必須確定這個(gè)主機(jī)的IP地址。小提示-域名和主機(jī)關(guān)系舉例：域名下,有主機(jī)server1和server2,其主機(jī)全名就是和。隨著轉(zhuǎn)換的完成，Web瀏覽器與Web服務(wù)器建立一個(gè)TCP連接。最后，Web 瀏覽器使用已建立好的TCP連接來(lái)發(fā)送請(qǐng)求“GET/HTTP/1.1”。這個(gè)分組描述了要求的行為（“GET”）及文件（只寫“/”是因?yàn)槲覀儧]有指定額外的文件名），還有所用到的協(xié)議的版本（“HTTP/1.1”）。2、HTTP GET/response交互（1）在協(xié)議框中，選擇“GET/

4、HTTP/1.1” 所在的分組會(huì)看到這個(gè)基本請(qǐng)求行后跟隨著一系列額外的請(qǐng)求首部。在首部后的“rn”表示一個(gè)回車和換行，以此將該首部與下一個(gè)首部隔開?！癏ost”首部在HTTP1.1版本中是必須的，它描述了URL中機(jī)器的主機(jī)，本例中是。這就允許了一個(gè)Web服務(wù)器在同一時(shí)間支持許多不同的主機(jī)名。User-Agent首部描述了提出請(qǐng)求的Web瀏覽器及客戶機(jī)器（有彩蛋喲，自己找）。接下來(lái)是一系列的Accept首部，包括Accept（接受）、Accept-Language（接受語(yǔ)言）、Accept-Encoding（接受編碼）、Accept-Charset（接受字符集）。它們告訴Web服務(wù)器客戶Web瀏

5、覽器準(zhǔn)備處理的數(shù)據(jù)類型。Web服務(wù)器可以將數(shù)據(jù)轉(zhuǎn)變?yōu)椴煌恼Z(yǔ)言和格式。Keep-Alive及Connection首部描述了有關(guān)TCP連接的信息，通過此連接發(fā)送HTTP請(qǐng)求和響應(yīng)。它表明在發(fā)送請(qǐng)求之后連接是否保持活動(dòng)狀態(tài)及保持多久。大多數(shù)HTTP1.1連接是持久的（persistent）,意思是在每次請(qǐng)求后不關(guān)閉TCP連接，而是保持該連接以接受從同一臺(tái)服務(wù)器發(fā)來(lái)的多個(gè)請(qǐng)求。（2）我們已經(jīng)分析了由Web瀏覽器發(fā)送的請(qǐng)求，現(xiàn)在我們來(lái)觀察Web服務(wù)器的回答。響應(yīng)首先發(fā)送“HTTP/1.1 200 ok”，指明它開始使用HTTP1.1版本來(lái)發(fā)送網(wǎng)頁(yè)。同樣，在響應(yīng)分組中，它后面也跟隨著一些首部。最后，被請(qǐng)

6、求的實(shí)際數(shù)據(jù)被發(fā)送。第一個(gè)Cache-control首部，用于描述是否將數(shù)據(jù)的副本存儲(chǔ)或高速緩存起來(lái)，以便將來(lái)引用。一般個(gè)人的Web瀏覽器會(huì)高速緩存一些本機(jī)最近訪問過的網(wǎng)頁(yè)，隨后對(duì)同一頁(yè)面再次進(jìn)行訪問時(shí)，如果該網(wǎng)頁(yè)仍存儲(chǔ)于高速緩存中，則不再向服務(wù)器請(qǐng)求數(shù)據(jù)。類似地，在同一個(gè)網(wǎng)絡(luò)中的計(jì)算機(jī)可以共享一些存在高速緩存中的頁(yè)面，防止多個(gè)用戶通過到其他網(wǎng)路的低速網(wǎng)路連接從網(wǎng)上獲取相同的數(shù)據(jù)。這樣的高速緩存被稱為代理高速緩存（proxy cache）。在我們所俘獲的分組中我們看到“Cache-control”首部值是“private”的。這表明服務(wù)器已經(jīng)對(duì)這個(gè)用戶產(chǎn)生了一個(gè)個(gè)性化的響應(yīng)，而且可以被存儲(chǔ)在本

7、地的高速緩存中，但不是共享的高速緩存代理。在HTTP請(qǐng)求中，Web服務(wù)器列出內(nèi)容類型及可接受的內(nèi)容編碼。此例中Web服務(wù)器選擇發(fā)送內(nèi)容的類型是text/html且內(nèi)容編碼是gzip。這表明數(shù)據(jù)部分是壓縮了的HTML。服務(wù)器描述了一些關(guān)于自身的信息。此例中響應(yīng)分組還用Content-Length首部描述了數(shù)據(jù)的長(zhǎng)度。最后，服務(wù)器還在Date首部中列出了數(shù)據(jù)發(fā)送的日期和時(shí)間。根據(jù)俘獲窗口內(nèi)容，回答“四、實(shí)驗(yàn)報(bào)告內(nèi)容”中的1-6題。3、HTTP條件GET/response交互（1）啟動(dòng)瀏覽器，清空瀏覽器的緩存。（2）啟動(dòng)Wireshark分組俘獲器，開始Wireshark分組俘獲。（3）在瀏覽器地址

8、欄中如下網(wǎng)址：/wireshark-labs/HTTP-wireshark-file2.html你的瀏覽器中將顯示一個(gè)的非常簡(jiǎn)單的HTML文件。（4）在你的瀏覽器中重新輸入相同的URL或單擊瀏覽器中的“刷新”按鈕。（5）停止Wireshark分組俘獲，在顯示過濾篩選說(shuō)明處輸入“http”,分組列表子窗口中將只顯示所俘獲到的HTTP報(bào)文。根據(jù)操作回答“四、實(shí)驗(yàn)報(bào)告內(nèi)容”中的7-10題。如果抓到的包太多，不好分析，可以在過濾處輸入http.request.uri contains "wireshark"，“wireshark”可以換

9、成想查的網(wǎng)址中的詞，就可以把想要的內(nèi)容過濾出來(lái)。Wireshark過濾語(yǔ)法總結(jié)附后。4、獲取長(zhǎng)文件（1）啟動(dòng)瀏覽器，將瀏覽器的緩存清空。（2）啟動(dòng)Wireshark 分組俘獲器，開始Wireshark分組俘獲。（3）在瀏覽器地址欄中輸入如下網(wǎng)址:/wireshark-labs/HTTP-wireshark-file3.html (注：此抓包網(wǎng)址和第3部分不一樣)瀏覽器將顯示一個(gè)相當(dāng)大的美國(guó)權(quán)力法案。（4）停止Wireshark分組俘獲，在顯示過濾篩選說(shuō)明處輸入“http”,分組列表子窗口中將只顯示所俘獲到的HTTP報(bào)文。根據(jù)操作回答“四、實(shí)驗(yàn)報(bào)告內(nèi)

10、容”中的11-14題。5、嵌有對(duì)象的HTML文檔（1）啟動(dòng)瀏覽器，將瀏覽器的緩存清空。（2）啟動(dòng)Wireshark分組俘獲器。開始Wireshark分組俘獲。（3）在瀏覽器地址欄中輸入如下網(wǎng)址：/wireshark-labs/HTTP-wireshark-file4.html (注：此抓包網(wǎng)址和第4部分不一樣)瀏覽器將顯示一個(gè)具有兩個(gè)圖片的短HTTP文件。（4）停止Wireshark分組俘獲，在顯示過濾篩選說(shuō)明處輸入“http”,分組列表子窗口中將只顯示所俘獲到的HTTP報(bào)文。根據(jù)操作回答“四、實(shí)驗(yàn)報(bào)告內(nèi)容”中的15-16題。6、HTTP認(rèn)證（1）

11、啟動(dòng)瀏覽器，將瀏覽器的緩存清空。（2）啟動(dòng)Wireshark分組俘獲器。開始Wireshark分組俘獲。（3）在瀏覽器地址欄中輸入如下網(wǎng)址：/wireshark-labs/protected_pages/HTTP-wireshark-file5.html瀏覽器將顯示一個(gè)HTTP文件，輸入所需要的用戶名和密碼(用戶名：wireshark-students,密碼:network)。（4）停止Wireshark分組俘獲，在顯示過濾篩選說(shuō)明處輸入“http”,分組列表子窗口中將只顯示所俘獲到的HTTP報(bào)文。根據(jù)操作回答“四、實(shí)驗(yàn)報(bào)告內(nèi)容”中的17-18題。

12、四、實(shí)驗(yàn)報(bào)告內(nèi)容在實(shí)驗(yàn)的基礎(chǔ)上，回答以下問題：（1） 你的瀏覽器運(yùn)行的是HTTP1.0，還是HTTP1.1？你所訪問的服務(wù)器所運(yùn)行的HTTP版本號(hào)是多少？參考答案：瀏覽器運(yùn)行的是HTTP1.1訪問的服務(wù)器運(yùn)行的是HTTP1.1（2） 你的瀏覽器向服務(wù)器指出它能接收何種語(yǔ)言版本的對(duì)象？參考答案：接收簡(jiǎn)體中文（3） 你的計(jì)算機(jī)的IP地址是多少？服務(wù)器的IP地址是多少？參考答案：我的計(jì)算機(jī)IP: 0 / Source 服務(wù)器的IP: 3 / Destination（4） 從服務(wù)器向你的瀏覽器返回的狀態(tài)代碼是多少？參考答案：200 OK（5） 你從服務(wù)器上

13、所獲取的HTML文件的最后修改時(shí)間是多少？參考答案：2012年9月13日 03:169:17 GMT注意：大部分有Last-Modified，少量沒有，可以找個(gè)有的進(jìn)行截圖。（6） 返回到你的瀏覽器的內(nèi)容一共多少字節(jié)？參考答案： 3373字節(jié)（7） 分析你的瀏覽器向服務(wù)器發(fā)出的第一個(gè)HTTP GET請(qǐng)求的內(nèi)容，在該請(qǐng)求報(bào)文中，是否有一行是：IF-MODIFIED-SINCE？參考答案：沒有（8） 分析服務(wù)器響應(yīng)報(bào)文的內(nèi)容，服務(wù)器是否明確返回了文件的內(nèi)容？如何獲知？是的，在Line-based text data 中顯示。（9） 分析你的瀏覽器向服務(wù)器發(fā)出的第二個(gè)“HTTP GET”請(qǐng)求，在該請(qǐng)

14、求報(bào)文中是否有一行是：IF-MODIFIED-SINCE？如果有，在該首部行后面跟著的信息是什么？ (注意Last-Modified 與If-Modified-Since的區(qū)別)有，該信息指的是頁(yè)面的最后修改時(shí)間（10） 服務(wù)器對(duì)第二個(gè)HTTP GET請(qǐng)求的響應(yīng)中的HTTP狀態(tài)代碼是多少？服務(wù)器是否明確返回了文件的內(nèi)容？請(qǐng)解釋。狀態(tài)碼： 304. 服務(wù)器沒有明確返回文件內(nèi)容。因?yàn)榉祷?04狀態(tài)碼，意思是不返回文件內(nèi)容。具體原因：瀏覽器端緩存頁(yè)面最后修改時(shí)間與服務(wù)器端時(shí)間一致，返回304狀態(tài)碼，客戶端接到之后，就直接把本地緩存文件顯示到瀏覽器中。（11） 你的瀏覽器一共發(fā)出了多少個(gè)HT

15、TP GET請(qǐng)求？參考答案：一個(gè)（12） 承載這一個(gè)HTTP響應(yīng)報(bào)文一共需要多少個(gè)data-containing TCP報(bào)文段？需要四個(gè)data-containing TCP報(bào)文段。（13） 與這個(gè)HTTP GET請(qǐng)求相對(duì)應(yīng)的響應(yīng)報(bào)文的狀態(tài)代碼和狀態(tài)短語(yǔ)是什么？參考答案：200 OK （14） 在被傳送的數(shù)據(jù)中一共有多少個(gè)HTTP狀態(tài)行與TCP-induced“continuation”有關(guān)？參考答案：一個(gè)，注意，雖然有四個(gè)data-containing TCP報(bào)文段，但只有這一個(gè)狀態(tài)行與他們相關(guān)。（15） 你的瀏覽器一共發(fā)出了多少個(gè)和打開的網(wǎng)址相關(guān)的HTTP GET請(qǐng)求？這些請(qǐng)求被發(fā)送到的目

16、的地的IP地址是多少？參考答案：五個(gè)HTTP GET請(qǐng)求。目的地址分別是0、0、4、57、0 （可能不同版本、不同情況下抓出來(lái)的不一樣，根據(jù)實(shí)際情況分析）（16） 瀏覽器在下載這兩個(gè)圖片時(shí)，是串行下載還是并行下載？請(qǐng)解釋。參考答案：并行，因?yàn)閮蓚€(gè)圖片是連續(xù)請(qǐng)求，不需要等第一個(gè)請(qǐng)求得到回復(fù)后才繼續(xù)第二次請(qǐng)求。有時(shí)候不同網(wǎng)絡(luò)環(huán)境下，可能抓到的包是在對(duì)應(yīng)請(qǐng)求得到回應(yīng)后才繼續(xù)第二次的請(qǐng)求，有時(shí)候是不需要等第一個(gè)請(qǐng)求得到回復(fù)后才繼續(xù)第二次請(qǐng)求。可以多抓幾次試試。只有存在不需要等第

17、一個(gè)請(qǐng)求得到回復(fù)后才繼續(xù)第二次請(qǐng)求的情況，就說(shuō)明是并行的。（17） 對(duì)于瀏覽器發(fā)出的最初的HTTP GET請(qǐng)求，服務(wù)器的響應(yīng)是什么(狀態(tài)代碼和狀態(tài)短語(yǔ))?參考答案：401 Unauthorized（18）當(dāng)瀏覽器發(fā)出第二個(gè)HTTP GET請(qǐng)求時(shí)，在HTTP GET報(bào)文中包含了哪些新的字段？參考答案：參考資料：1. http1.0 協(xié)議/Protocols/HTTP/1.0/draft-ietf-http-spec.html#Code302http1.1 協(xié)議/Protocols/rfc2616/rfc2616-sec10.ht

18、mlhttp1.0和http1.1的比較 2http狀態(tài)碼大全 3. Last-Modified 與If-Modified-Since都是用來(lái)記錄頁(yè)面的最后修改時(shí)間。當(dāng)客戶端訪問頁(yè)面時(shí)，服務(wù)器會(huì)將頁(yè)面最后修改時(shí)間通過 Last-Modified 標(biāo)識(shí)由服務(wù)器發(fā)往客戶端，客戶端記錄修改時(shí)間，再次請(qǐng)求本地存在的cache頁(yè)面時(shí)，客戶端會(huì)通過 If-Modified-Since 頭將先前服務(wù)器端發(fā)過來(lái)的最后修改時(shí)間戳發(fā)送回去，服務(wù)器端通過這個(gè)時(shí)間戳判斷客戶端的頁(yè)面是否是最新的，如果不是最新的，則返回新的內(nèi)容，如果是最新的，則 返回 304 告訴客戶端其本地 cache 的頁(yè)面是最新的，于是客戶端就可以直接從本地加載頁(yè)面了，這樣在