wireshark抓包分析

用wireshark分析Http和Dns报文一、http请求报文和响应报文wireshark所抓的一个含有http请求报文的帧：1、帧的解释链路层的信息上是以帧的形式进行传输的，帧封装了应用层、传输层、网络层的数据。而wireshark抓到的就是链路层的一帧。图中解释：Frame18：所抓帧的序号是11，大小是409字节Ethernet：以太网，有线局域网技术，属链路层InernetProtocol：即IP协议，也称网际协议，属网络层TransmissonControlProtocol：即TCP协议，也称传输控制协议。属传输层Hypertexttransferprotocol：即http协议，也称超文本传输协议。属应用层图形下面的数据是对上面数据的16进制表示。2、分析上图中的http请求报文报文分析：请求行：GET/img/2009people_index/images/hot_key.gifHTTP/1.1方法字段/URL字段/http协议的版本我们发现，报文里有对请求行字段的相关解释。该报文请求的是一个对象，该对象是图像。首部行：Accept:*/*Referer::zh-cn语言中文Accept-Encoding:gzip,deflate可接受编码，文件格式User-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.1;SV1;CIBA;.NETCLR2.0.50727;.NETCLR1.1.4322;.NETCLR3.0.04506.30;360SE)用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释Host:www.people.com.cn目标所在的主机Connection:Keep-Alive激活连接在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名，比如下面http请求报文中橙黄色首部字段名：Accept:*/*Referer::zh-cn语言中文Accept-Encoding:gzip,deflate可接受编码，文件格式If-Modified-Since:Sat,13Mar201006:59:06GMT内容是否被修改：最后一次修改时间If-None-Match:9a4041-197-2f11e280关于资源的任何属性（ETags值）在ETags的值中可以体现，是否改变User-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.1;SV1;CIBA;.NETCLR2.0.50727;.NETCLR1.1.4322;.NETCLR3.0.04506.30;360SE)用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释Host:bbs.foodmate.net目标所在的主机Connection:Keep-Alive激活连接Cookie:cdb_sid=0Ocz4H;cdb_oldtopics=D345413D;cdb_visitedfid=17;__gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY24VDbjc1Acookie，允许站点跟踪用户，coolieID是7ab350574834b14b3、分析http的响应报文，针对上面请求报文的响应报文如下：wireshark对于2中http请求报文的响应报文：展开http响应报文：报文分析：状态行：HTTP/1.0200OK首部行：Content-Length:159内容长度Accept-Ranges:bytes接受范围Server:nginx服务器X-Cache:MISSfromwww2.people.com.cn经过了缓存服务器Via:1.0www2.people.com.cn:80(squid/2.6.STABLE14-20070808)路由响应信息Date:Fri,22Oct201012:09:42GMT响应信息创建的时间Content-Type:image/gif内容类型图像Expires:Fri,22Oct201012:10:19GMT设置内容过期时间Last-Modified:Fri,11Jun201000:50:48GMT内容最后一次修改时间Powered-By-ChinaCache:PENDINGfromCNC-BJ-D-3BAChinaCache的是一家领先的内容分发网络（CDN）在中国的服务提供商。Age:34缓存有效34天Powered-By-ChinaCache:HITfromUSA-SJ-1-3D3ChinaCache是一家领先的内容分发网络（CDN）在中国的服务提供商。Connection:keep-alive保持TCP连接图中最后一行compuserveGIF是对所传图像的信息的描述GIF是compuserve公司开发的图像格式标准。二、DNS查询报文和回答报文1、Wireshark所抓的DNS查询报文：该查询报文是查询english.people.com.cn的IP地址，使用的传输层协议是UDP协议。展开DNS查询报文：报文分析：首部区域：标识符：TransactionID:0x4b4816位比特数，标志该查询标志：Flags：0x0100（standardquery）0……….….=Respone：Messsageisaquery0表示为dns查询报文.0000…….….=opcode：standardquery(0)操作码为标准查询.…..0.….….=Truncated：messageisnottruncated信息没有被截断.…..1.….….=Recursiondesired：Doqueryrecursively执行递归查询….…..0..…..=z：reserved（0）….….…0…..=Nontheticateddata：unacceptable问题数：Question:1只查询一个主机名回答RR数：AnswerRRS:0权威RR数：AuthorityRRS:0附加RR数：AdditionalRRS:0问题区域：问题（问题变量数）：english.people.com.cn:typeA,classIN查询一个主机english.people.com.cn回答（资源记录的变量数）：Name：english.people.com.cnTypeA(Hostaddress)class：IN(0x0001)包含最初请求的名字的资源记录权威（资源记录的变量数）：无附加信息：无2、Wireshark对应的DNS回答报文：展开DNS回答报文：报文分析：首部区域：标识符：TransactionID:0x4b4816位比特数，与对应的查询报文标识符相同标志：Flags：0x8180（standardquery）问题数：Question:1表示只查询一个主机回答RR数：AnswerRRS:5表示该主机对应的有5条资源记录权威RR数：AuthorityRRS:0附加RR数：AdditionalRRS:0问题区域：问题（问题变量数）：english.people.com.cn:typeA,classINName：english.people.com.cnTypeA(Hostaddress)class：IN(0x0001)最初请求的名字的资源记录回答（资源记录的变量数）：Answers5条RR,即主机与ip的5条资源记录权威（资源记录的变量数）：无附加信息：无