wireshark抓包實(shí)驗(yàn)機(jī)協(xié)議分析

Wireshark抓包及分析實(shí)驗(yàn)學(xué)生姓名： 夏效程 學(xué)號(hào)： V200748016 任務(wù)分配日期：2009-12-16課程名稱： 計(jì)算機(jī)組網(wǎng)技術(shù) WireShark實(shí)驗(yàn)報(bào)告 : 用Wireshark完成計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議分析報(bào)告開始時(shí)間: 2009-12-16 報(bào)告截至日期: 2009-12-30一 實(shí)驗(yàn)的目的本次實(shí)驗(yàn)的目的就是要學(xué)會(huì)wireshark抓包軟件的基本使用方法，wireshark抓包的基本過程，以及對(duì)所抓到的數(shù)據(jù)包進(jìn)行詳細(xì)的分析并能很好的李杰一些基本的數(shù)據(jù)的含義。能達(dá)到對(duì)網(wǎng)絡(luò)數(shù)據(jù)的基本的監(jiān)控和查詢的能力。實(shí)驗(yàn)一 802.3協(xié)議分析和以太網(wǎng)（一）實(shí)驗(yàn)?zāi)康?、分析802.3協(xié)議2、熟悉以太網(wǎng)幀的格式、了解ARP、ICMP、IP數(shù)據(jù)包格式實(shí)驗(yàn)步驟：1、捕獲并分析以太幀 （1）清空瀏覽器緩存（在IE窗口中，選擇“工具/Internet選項(xiàng)/刪除文件”命令）。如下圖 （2）啟動(dòng)WireShark，開始分組捕獲。 （3）在瀏覽器的地址欄中輸入： 瀏覽器將顯示華科大主頁。如下圖所示： （4）停止分組捕獲。首先，找到你的主機(jī)向服務(wù)器發(fā)送的HTTP GET消息的Segment序號(hào)，以及服務(wù)器發(fā)送到你主機(jī)上的HTTP 響應(yīng)消息的序號(hào)。http的segement段序號(hào)是47 45 54如下圖：由下圖可以得到服務(wù)器發(fā)送到我主機(jī)上的http響應(yīng)消息的序號(hào)是：由上圖可知為44 ： 1、你的主機(jī)的48位以太網(wǎng)地址(MAC地址)是多少？我的主機(jī)的mac地址是： 2、目標(biāo)MAC地址是服務(wù)器的MAC地址嗎？如果不是，該地址是什么設(shè)備的MAC地址？不是服務(wù)器的MAC地址；該地址是網(wǎng)關(guān)的地址。 3、給出Frame頭部Type字段(2字節(jié))的十六進(jìn)制值。十六進(jìn)制的值是08 00如圖所示： 4、在包含“HTTP GET”的以太網(wǎng)幀中，字符“G”的位置(是第幾個(gè)字節(jié)，假設(shè)Frame頭部第一個(gè)字節(jié)的順序?yàn)?)？如果frame得頭部為順序1，則“G”的位置為67。如下圖所示： 5、以太Frame的源MAC地址是多少？該地址是你主機(jī)的MAC地址嗎？是服務(wù)器的MAC地址嗎？如果不是，該地址是什么設(shè)備的MAC地址？由上圖可以得到：源mac地址為：00:1a:a9:1c:07:19該mac地址既不是我主機(jī)的mac地址也不是web服務(wù)器的mac地址，他是網(wǎng)關(guān)地址。Frame的源地址是 6、以太網(wǎng)幀的目的MAC地址是多少？該地址是你主機(jī)的地址嗎？上面的00:13:8f:3a:81:f0就是以太幀的mac地址。該地址是我的主機(jī)地址。 7、給出Frame頭部2-字節(jié)Type字段的十六進(jìn)制值。由上圖可以知道08:00就是type的值。 8、在包含“OK”以太網(wǎng)幀中，從該幀的第一個(gè)字節(jié)算起，”O(jiān)”是第幾個(gè)字節(jié)？由下圖可以知道o的地址是：15 9、寫下你主機(jī)ARP緩存中的內(nèi)容。其中每一列的含義是什么？以上的顯示寫的依次是：interface：就是自己主機(jī)的ip地址，下面的就是默認(rèn)網(wǎng)關(guān)的ip地址，后面的四十八位的十六進(jìn)制的數(shù)是默認(rèn)網(wǎng)關(guān)的mac地址。 10、包含ARP請(qǐng)求報(bào)文的以太網(wǎng)幀的源地址和目的地址的十六進(jìn)制值各是多少？由下圖可以知道源mac地址是：00:1a:1c:07:19目的mac地址是：FF:FF:FF:FF:FF:FF 11、給出Frame頭部Type字段的十六進(jìn)制值。由上圖可以知道：十六進(jìn)制的值是：08 06 12、從ftp:/ftp.rfc-editor.org/innotes/std/std37.txt處下載ARP規(guī)范說明。在http:/www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html處有一個(gè)關(guān)于ARP的討論網(wǎng)頁。根據(jù)操作回答： 形成ARP響應(yīng)報(bào)文的以太網(wǎng)幀中，ARP-payload部分opcode字段的值是多少？由上面的圖可以知道opcode的值是00 01 在ARP報(bào)文中是否包含發(fā)送方的IP地址？包含發(fā)送方的ip地址，但是是默認(rèn)網(wǎng)關(guān)的ip地址 13、包含ARP響應(yīng)(reply)報(bào)文的以太網(wǎng)幀中，源地址和目的地址的十六進(jìn)制值各是多少？以上的de 14 6e fe為源地址的值上面的顯示的de 14 6e 27是目的地址的值。實(shí)驗(yàn)三 TCP協(xié)議分析（一）實(shí)驗(yàn)?zāi)康募叭蝿?wù)1、熟悉TCP協(xié)議的基本原理2、利用WireShark對(duì)TCP協(xié)議進(jìn)行分析（二）實(shí)驗(yàn)環(huán)境1、與因特網(wǎng)連接的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)；操作系統(tǒng)為Windows；WireShark、IE等軟件。2、預(yù)備知識(shí)要深入理解網(wǎng)絡(luò)協(xié)議，需要仔細(xì)觀察協(xié)議實(shí)體之間交換的報(bào)文序列。為探究協(xié)議操作細(xì)節(jié)，可使協(xié)議實(shí)體執(zhí)行某些動(dòng)作，觀察這些動(dòng)作及其影響。這些任務(wù)可以在仿真環(huán)境下或在如因特網(wǎng)這樣的真實(shí)網(wǎng)絡(luò)環(huán)境中完成。觀察在正在運(yùn)行協(xié)議實(shí)體間交換報(bào)文的基本工具被稱為分組嗅探器（packet sniffer）。顧名思義，一個(gè)分組嗅探器捕獲（嗅探）計(jì)算機(jī)發(fā)送和接收的報(bào)文。一般情況下，分組嗅探器將存儲(chǔ)和顯示出被捕獲報(bào)文的各協(xié)議頭部字段內(nèi)容。在WireShark介紹部分Figure 1為一個(gè)分組嗅探器的結(jié)構(gòu)。Figure 1右邊是計(jì)算機(jī)上正常運(yùn)行的協(xié)議（在這里是因特網(wǎng)協(xié)議）和應(yīng)用程序（如：web瀏覽器和ftp客戶端）。分組嗅探器（虛線框中的部分）是附加計(jì)算機(jī)普通軟件上的，主要有兩部分組成。分組捕獲庫接收計(jì)算機(jī)發(fā)送和接收的每一個(gè)鏈路層幀的拷貝。高層協(xié)議（如：HTTP、FTP、TCP、UDP、DNS、IP等）交換的報(bào)文都被封裝在鏈路層幀(Frame)中，并沿著物理介質(zhì)（如以太網(wǎng)的電纜）傳輸。Figure 1假設(shè)所使用的物理媒體是以太網(wǎng)，上層協(xié)議的報(bào)文最終封裝在以太網(wǎng)幀中。分組嗅探器的第二個(gè)組成部分是分析器。分析器用來顯示協(xié)議報(bào)文所有字段的內(nèi)容。為此，分析器必須能夠理解協(xié)議所交換的所有報(bào)文的結(jié)構(gòu)。例如：我們要顯示Figure 1中HTTP協(xié)議所交換的報(bào)文的各個(gè)字段。分組分析器理解以太網(wǎng)幀格式，能夠識(shí)別包含在幀中的IP數(shù)據(jù)報(bào)。分組分析器也要理解IP數(shù)據(jù)報(bào)的格式，并能從IP數(shù)據(jù)報(bào)中提取出TCP報(bào)文段。然后，它需要理解TCP報(bào)文段，并能夠從中提取出HTTP消息。最后，它需要理解HTTP消息。WireShark是一種可以運(yùn)行在Windows, UNIX, Linux等操作系統(tǒng)上的分組分析器。最初，各窗口中并無數(shù)據(jù)顯示。WireShark的界面主要有五個(gè)組成部分：命令菜單（command menus）：命令菜單位于窗口的最頂部，是標(biāo)準(zhǔn)的下拉式菜單。最常用菜單命令有兩個(gè)：File、Capture。File菜單允許你保存捕獲的分組數(shù)據(jù)或打開一個(gè)已被保存的捕獲分組數(shù)據(jù)文件或退出WireShark程序。Capture菜單允許你開始捕獲分組。 捕獲分組列表（listing of captured packets）：按行顯示已被捕獲的分組內(nèi)容，其中包括：WireShark賦予的分組序號(hào)、捕獲時(shí)間、分組的源地址和目的地址、協(xié)議類型、分組中所包含的協(xié)議說明信息。單擊某一列的列名，可以使分組按指定列進(jìn)行排序。在該列表中，所顯示的協(xié)議類型是發(fā)送或接收分組的最高層協(xié)議的類型。分組頭部明細(xì)（details of selected packet header）：顯示捕獲分組列表窗口中被選中分組的頭部詳細(xì)信息。包括：與以太網(wǎng)幀有關(guān)的信息，與包含在該分組中的IP數(shù)據(jù)報(bào)有關(guān)的信息。單擊以太網(wǎng)幀或IP數(shù)據(jù)報(bào)所在行左邊的向右或向下的箭頭可以展開或最小化相關(guān)信息。另外，如果利用TCP或UDP承載分組，WireShark也會(huì)顯示TCP或UDP協(xié)議頭部信息。最后，分組最高層協(xié)議的頭部字段也會(huì)顯示在此窗口中。分組內(nèi)容窗口（packet content）：以ASCII碼和十六進(jìn)制兩種格式顯示被捕獲幀的完整內(nèi)容。顯示篩選規(guī)則（display filter specification）：在該字段中，可以填寫協(xié)議的名稱或其他信息，根據(jù)此內(nèi)容可以對(duì)分組列表窗口中的分組進(jìn)行過濾。（三）實(shí)驗(yàn)步驟1、捕獲大量的由本地主機(jī)到遠(yuǎn)程服務(wù)器的TCP分組 （1）啟動(dòng)WireShark，開始分組捕獲。 （2）啟動(dòng)瀏覽器，打開 （3）停止分組捕獲。2、瀏覽追蹤信息 （1）在顯示篩選規(guī)則編輯框中輸入“tcp”,可以看到在本地主機(jī)和服務(wù)器之間傳輸?shù)囊幌盗衪cp和HTTP消息，你應(yīng)該能看到包含SYN Segment的三次握手。也可以看到有主機(jī)向服務(wù)器發(fā)送的一個(gè)HTTP POST消息和一系列的“http continuation”報(bào)文。如下圖所示： （2）根據(jù)操作回答“（四）實(shí)驗(yàn)報(bào)告內(nèi)容”中的1-2題。3、TCP基礎(chǔ) 根據(jù)操作回答“（四）實(shí)驗(yàn)報(bào)告內(nèi)容”中的3-10題4、TCP擁塞控制 （1）在WireShark已捕獲分組列表子窗口中選擇一個(gè)TCP 報(bào)文段。選擇菜單： Statistics->TCP Stream Graph-> Time-Sequence-Graph(Stevens)。你會(huì)看到如下所示的圖。 （2）根據(jù)操作回答“（四）實(shí)驗(yàn)報(bào)告內(nèi)容”中的11-12題。（四）實(shí)驗(yàn)報(bào)告內(nèi)容在實(shí)驗(yàn)的基礎(chǔ)上，回答以下問題：1、向服務(wù)器傳送文件的客戶端主機(jī)的IP地址和TCP端口號(hào)分別是多少？222.20.110.120如下圖所示：Tcp的端口號(hào)是34902、服務(wù)器的IP地址是多少？對(duì)這一連接，它用來發(fā)送和接收TCP報(bào)文的端口號(hào)是多少？服務(wù)器的ip地址是 202.114.0.245Tcp的端口是803、客戶服務(wù)器之間用于初始化TCP連接的TCP SYN報(bào)文段的序號(hào)（sequence number）是多少？在該報(bào)文段中，是用什么來標(biāo)示該報(bào)文段是SYN報(bào)文段的？由上圖可以知道客戶服務(wù)器之間用于初始化TCP連接的TCP SYN報(bào)文段的序號(hào)是0，用下面圖中所示標(biāo)示值為0x024、服務(wù)器向客戶端發(fā)送的SYNACK報(bào)文段序號(hào)是多少？該報(bào)文段中，Acknowledgement字段的值是多少？服務(wù)器是如何決定此值的？在該報(bào)文段中，是用什么來標(biāo)識(shí)該報(bào)文段是SYNACK報(bào)文段的？序號(hào)是如圖所示：為59下面圖中所示：值為1隨機(jī)生成的Acknowledgement。如下圖所示可以知道標(biāo)志為 0x105、包含HTTP POST消息的TCP報(bào)文段的序號(hào)是多少？6、如果將包含HTTP POST消息的TCP報(bào)文段看作是TCP連接上的第一個(gè)報(bào)文段，那么該TCP連接上的第六個(gè)報(bào)文段的序號(hào)是多少？是何時(shí)發(fā)送的？該報(bào)文段所對(duì)應(yīng)的ACK是何時(shí)接收的？7、前六個(gè)TCP報(bào)文段的長度各是多少？前六個(gè)報(bào)文段的長度分別是78 ，66 ，54 ，674 ，60，261。8、在整個(gè)跟蹤過程中，接收端向發(fā)送端通知的最小可用緩存是多少？限制發(fā)送端的傳輸以后，接收端的緩存是否仍然不夠用？由下圖可以知道最小的緩存是65535夠用9、在跟蹤文件中是否有重傳的報(bào)文段？判斷的依據(jù)是什么？10、TCP連接的吞吐率(bytes transferred per unit time，單位時(shí)間傳輸?shù)淖止?jié)數(shù))是多少？寫出你的計(jì)算過程。由上圖可以知道在這個(gè)過程中有241個(gè)tcp包進(jìn)行了傳遞，而用的時(shí)間是13.302451000秒所以就可以進(jìn)行計(jì)算 241/13.302451000=18.116962個(gè)/秒11、 利用Time-Sequence-Graph(Stevens) plotting工具，瀏覽由客戶端向服務(wù)器發(fā)送的報(bào)文段序號(hào)和時(shí)間對(duì)應(yīng)關(guān)系圖。你能否辨別出TCP慢啟動(dòng)階段的起止，以及在何處轉(zhuǎn)入避免擁塞階段？12、闡述所測(cè)量到的數(shù)據(jù)與TCP理想化的行為有何不同？理想化的行為是沒有包括網(wǎng)絡(luò)的擁塞情況的，在實(shí)際的網(wǎng)絡(luò)環(huán)境中是不可能沒有延時(shí)的，就好似時(shí)間的長短問題，所以測(cè)量到得會(huì)比理想化的小一些，就是效率會(huì)低一些。實(shí)驗(yàn)四 利用WireShark分析HTTP和DNS（一）實(shí)驗(yàn)?zāi)康募叭蝿?wù)1、熟悉并掌握WireShark的基本操作，了解網(wǎng)絡(luò)協(xié)議實(shí)體間的交互以及報(bào)文交換。2、分析HTTP協(xié)議3、分析DNS協(xié)議（二）實(shí)驗(yàn)環(huán)境與因特網(wǎng)連接的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)；主機(jī)操作系統(tǒng)為Windows2000或Windows XP；WireShark等軟件。（三）實(shí)驗(yàn)步驟1、WireShark的使用(1) 啟動(dòng)主機(jī)上的web瀏覽器。(2) 啟動(dòng)WireShark。(3) 開始分組捕獲：選擇“capture”下拉菜單中的“Optios”命令，在“WireShark: Capture Options”窗口中可以設(shè)置分組捕獲的選項(xiàng)。(4) 在實(shí)驗(yàn)中，可以使用窗口中顯示的默認(rèn)值。在“WireShark: Capture Options”窗口的最上面有一個(gè)“interface”下拉菜單，其中顯示計(jì)算機(jī)中所安裝的網(wǎng)絡(luò)接口（即網(wǎng)卡）。當(dāng)計(jì)算機(jī)具有多個(gè)活動(dòng)網(wǎng)卡（裝有多塊網(wǎng)卡，并且均正常工作）時(shí)，需要選擇其中一個(gè)用來發(fā)送或接收分組的網(wǎng)絡(luò)接口（如某個(gè)有線接口）。(5) 隨后，單擊“Start”開始進(jìn)行分組捕獲，所有由選定網(wǎng)卡發(fā)送和接收的分組都將被捕獲。(6) 開始分組捕獲后，會(huì)出現(xiàn)分組捕獲統(tǒng)計(jì)窗口。該窗口統(tǒng)計(jì)顯示各類已捕獲分組的數(shù)量。在該窗口中有一個(gè)“stop”按鈕，可以停止分組的捕獲。(7) 在運(yùn)行分組捕獲的同時(shí)，在瀏覽器地址欄中輸入某網(wǎng)頁的URL，如：。i. 為顯示該網(wǎng)頁，瀏覽器需要連接的服務(wù)器，并與之交換HTTP消息，以下載該網(wǎng)頁。包含這些HTTP消息的以太網(wǎng)幀(Frame)將被WireShark捕獲。ii. WireShark主窗口顯示已捕獲的你的計(jì)算機(jī)與其他網(wǎng)絡(luò)實(shí)體交換的所有協(xié)議報(bào)文，其中一部分就是與服務(wù)器交換的HTTP消息。(8) 在顯示篩選編輯框中輸入“http”，單擊“apply”，分組列表窗口將只顯示HTTP消息。(9) 選擇分組列表窗口中的第一條HTTP消息。它應(yīng)該是你的計(jì)算機(jī)發(fā)向服務(wù)器的HTTP GET消息。當(dāng)你選擇該消息后，以太網(wǎng)幀、IP數(shù)據(jù)報(bào)、TCP報(bào)文段、以及HTTP消息首部信息都將顯示在分組首部子窗口中。單擊分組首部詳細(xì)信息子窗口中向右和向下箭頭，可以最小化幀、以太網(wǎng)、IP、TCP信息顯示量，可以最大化HTTP協(xié)議相關(guān)信息的顯示量。2、HTTP和DNS分析（1）HTTP GET/response交互首先通過下載一個(gè)非常簡單的HTML文件（該文件非常短，并且不嵌入任何對(duì)象）。（a） 啟動(dòng)Web 瀏覽器，然后啟動(dòng)WireShark。在窗口的顯示過濾規(guī)則編輯框處輸入“http”，分組列表子窗口中將只顯示所捕獲到的HTTP消息。（b） 一分鐘以后，開始WireShark分組捕獲。（c） 在打開的Web瀏覽器窗口中輸入以下地址：（d） 停止分組捕獲。根據(jù)捕獲窗口內(nèi)容，回答“（四）實(shí)驗(yàn)報(bào)告內(nèi)容”中的“2、HTTP和DNS分析”1-6題。（2）HTTP 條件GET/response交互（a） 啟動(dòng)瀏覽器，清空瀏覽器的緩存（在瀏覽器中，選擇“工具”菜單中“Internet選項(xiàng)”命令，在出現(xiàn)的對(duì)話框中，選擇“刪除文件”）。（b） 啟動(dòng)WireShark。開始WireShark分組捕獲。（c） 在瀏覽器的地址欄中輸入以下URL:（d） 在你的瀏覽器中重新輸入相同的URL或單擊瀏覽器中的“刷新”按鈕。（e） 停止WireShark分組捕獲，在顯示過濾篩選說明處輸入“http”,分組列表子窗口中將只顯示所捕獲到的HTTP消息。根據(jù)操作回答“（四）實(shí)驗(yàn)報(bào)告內(nèi)容”中的“2、HTTP和DNS分析”7-10題。（3）獲取長文件（a） 啟動(dòng)瀏覽器，將瀏覽器的緩存清空。（b） 啟動(dòng)WireShark，開始WireShark分組捕獲。（c） 在瀏覽器的地址欄中輸入以下URL:（d） 停止WireShark分組捕獲，在顯示過濾篩選編輯框中輸入“http”,分組列表子窗口中將只顯示所捕獲到的HTTP消息。根據(jù)操作回答“（四）實(shí)驗(yàn)報(bào)告內(nèi)容”中的“2、HTTP和DNS分析”的11-14題。（4）嵌有對(duì)象的HTML文檔（a） 啟動(dòng)瀏覽器，將瀏覽器的緩存清空。（b） 啟動(dòng)WireShark。開始WireShark分組捕獲。（c） 在瀏覽器的地址欄中輸入以下URL:（d） 停止WireShark分組捕獲，在顯示過濾篩選說明處輸入“http”,分組列表子窗口中將只顯示所捕獲到的HTTP消息。根據(jù)操作回答“（四）實(shí)驗(yàn)報(bào)告內(nèi)容”中的“2、HTTP和DNS分析”的15-16題。（5）HTTP認(rèn)證(選作)（a） 啟動(dòng)瀏覽器，將瀏覽器的緩存清空。（b） 啟動(dòng)WireShark。開始WireShark分組捕獲。（c） 在瀏覽器的地址欄中輸入以下URL:（d） 停止WireShark分組捕獲，在顯示過濾篩選說明處輸入“http”,分組列表子窗口中將只顯示所捕獲到的HTTP消息。根據(jù)操作回答“（四）實(shí)驗(yàn)報(bào)告內(nèi)容”中的“2、HTTP和DNS分析”的17-18題。（6）跟蹤DNS nslookup工具允許主機(jī)向指定的DNS服務(wù)器查詢某個(gè)DNS記錄。如果沒有指明DNS服務(wù)器，nslookup將把查詢請(qǐng)求發(fā)向默認(rèn)的DNS服務(wù)器。 nslookup的一般格式是：nslookup option1 option2 host-to-find dns-server ipconfig命令用來顯示你當(dāng)前的TCP/IP信息，包括：你的地址、DNS服務(wù)器的地址、適配器的類型等信息。如果，要顯示與主機(jī)相關(guān)的信息用命令： ipconfig/all 如果查看DNS緩存中的記錄用命令： ipconfig/displaydns 要清空DNS緩存，用命令： ipconfig /flushdns 運(yùn)行以上命令需要進(jìn)入MSDOS環(huán)境。(開始菜單>運(yùn)行>輸入命令“cmd”)（a） 利用ipconfig命令清空主機(jī)上的DNS緩存。啟動(dòng)瀏覽器，并將瀏覽器的緩存清空。（b） 啟動(dòng)WireShark，在顯示過濾篩選規(guī)則編輯框處輸入：“ip.addr = = your_IP_address”(如：ip.addr= =202.112.20.13)過濾器將會(huì)刪除所有目的地址和源地址與指定IP地址都不同的分組。（c） 開始WireShark分組捕獲。（d） 在瀏覽器的地址欄中輸入：（e） 停止分組捕獲。（f） 根據(jù)操作回答“（四）實(shí)驗(yàn)報(bào)告內(nèi)容”中的 “2、HTTP和DNS分析”19-25題。（g） 開始WireShark分組捕獲。（h） 在 （i） 停止分組捕獲。（j） 根據(jù)操作回答“（四）實(shí)驗(yàn)報(bào)告內(nèi)容” 中的 “2、HTTP和DNS分析”26-29題。（k） 重復(fù)上面的實(shí)驗(yàn)，只是將命令替換為：nslookup type=NS mit.edu（l） 根據(jù)操作回答“（四）實(shí)驗(yàn)報(bào)告內(nèi)容” 中的 “2、HTTP和DNS分析”30-32題。（m） 根據(jù)操作回答“（四）實(shí)驗(yàn)報(bào)告內(nèi)容” 中的 “2、HTTP和DNS分析”33-35題。（四）實(shí)驗(yàn)報(bào)告內(nèi)容1、WireShark的使用(1) 列出在第7步中分組列表子窗口所顯示的所有協(xié)議類型。我所看到的是如下圖所示：(2) 從發(fā)出HTTP GET消息到接收到HTTP OK響應(yīng)報(bào)文共需要多長時(shí)間？（在默認(rèn)的情況下，分組列表窗口中Time列的值是從WireShark開始追蹤到分組被捕獲時(shí)總的時(shí)間，以秒為單位。若要按time-of-day格式顯示Time列的值，需選擇View下拉菜單，再選擇Time Display Format，然后選擇Time-of-day。）由下圖可以知道時(shí)間是0.006917000S(3) 你主機(jī)的IP地址是什么？你所訪問的主頁所在服務(wù)器的IP地址是什么？我的主機(jī)的ip地址是222.20.110.120 我所訪問服務(wù)器的的ip地址是：202.114.0.245如下圖所示：(4) 寫出兩個(gè)第9步所顯示的HTTP消息頭部行信息。2、HTTP和DNS分析(1) 你的瀏覽器使用的是HTTP1.0，還是HTTP1.1？你所訪問的Web服務(wù)器所使用HTTP協(xié)議的版本號(hào)是多少？我的瀏覽器是使用的http1.1的；訪問的web頁也是使用的http1.1(2) 你的瀏覽器向服務(wù)器指出它能接收何種語言版本的對(duì)象？我的瀏覽器指出能接受的語言是html(3) 你的計(jì)算機(jī)的IP地址是多少？服務(wù)器的IP地址是多少？我的計(jì)算機(jī)ip地址是222.20.110.120 服務(wù)器的IP地址是202.114.0.245(4) 從服務(wù)器向你的瀏覽器返回response消息的狀態(tài)代碼是多少？304如下圖所示：(5) 你從服務(wù)器上所獲取的HTML文件的最后修改時(shí)間是多少？最后的修改時(shí)間如下圖所示為：可知道是2009年12月12號(hào)(6) 返回到瀏覽器的內(nèi)容一共多少字節(jié)？(7) 分析你的瀏覽器向服務(wù)器發(fā)出的第一個(gè)HTTP GET請(qǐng)求的內(nèi)容，在該請(qǐng)求消息中，是否有一行是：IF-MODIFIED-SINCE？有如下圖所示：(8) 分析服務(wù)器響應(yīng)消息的內(nèi)容，服務(wù)器是否明確返回了文件的內(nèi)容？如何獲知？由下面的兩個(gè)圖可以知道服務(wù)器返回了文件內(nèi)容：可以看到一些內(nèi)容圖片信息等。(9) 分析你的瀏覽器向服務(wù)器發(fā)出的第二個(gè)“HTTP GET”請(qǐng)求，在該請(qǐng)求報(bào)文中是否有一行是：IF-MODIFIED-SINCE？如果有，在該首部行后面跟著的信息是什么？有信息是資源創(chuàng)建的時(shí)間。(10) 服務(wù)器對(duì)第二個(gè)HTTP GET請(qǐng)求的響應(yīng)消息中的HTTP狀態(tài)代碼是多少？服務(wù)器是否明確返回了文件的內(nèi)容？請(qǐng)解釋。狀態(tài)的代碼是服務(wù)器返回的文件內(nèi)容是如下圖所示：可以看到data之后就是所返回的數(shù)據(jù)。(11) 你的瀏覽器一共發(fā)出了多少個(gè)HTTP GET請(qǐng)求？我的瀏覽器一共發(fā)了46個(gè)http get請(qǐng)求(12) 承載這一個(gè)HTTP響應(yīng)報(bào)文一共需要多少個(gè)TCP報(bào)文段？一共需要三個(gè)tcp報(bào)文段(13) 與這個(gè)HTTP GET請(qǐng)求相對(duì)應(yīng)的響應(yīng)報(bào)文的狀態(tài)代碼和狀態(tài)短語是什么？狀態(tài)代碼是304 狀態(tài)短語是(14) 在被傳送的數(shù)據(jù)中一共有多少個(gè)HTTP狀態(tài)行？一共有94個(gè)http狀態(tài)行(15) 你的瀏覽器一共發(fā)出了多少個(gè)HTTP GET請(qǐng)求消息？這些請(qǐng)求消息被發(fā)送到的目的地IP地址是多少？46個(gè)請(qǐng)求消息 目的ip是202.114.0.245(16) 瀏覽器在下載這兩個(gè)圖片時(shí)，是串行下載還是并行下載？請(qǐng)解釋。是串行下載，因?yàn)閿?shù)據(jù)的傳輸時(shí)是按順序傳輸?shù)?，而且不同的圖片被包含在不同的幀當(dāng)中進(jìn)行傳輸，圖片的傳輸是串行的。(17) 對(duì)于瀏覽器發(fā)出的、最初的HTTP GET請(qǐng)求消息，服務(wù)器的響應(yīng)消息的狀態(tài)代碼和狀態(tài)短語分別是什么?狀態(tài)代碼是304，狀態(tài)語是(18) 當(dāng)瀏覽器發(fā)出第二個(gè)HTTP GET請(qǐng)求消息時(shí)，在HTTP GET消息中包含了哪些新的頭部行？多了這個(gè)消息(19) 定位到DNS查詢消息和查詢響應(yīng)報(bào)文，這兩種報(bào)文的發(fā)送是基于UDP還是基于TCP的？這兩種報(bào)文是基于udp的是無連接的(20) DNS查詢消息的目的端口號(hào)是多少？DNS查詢響應(yīng)消息的源端口號(hào)是多少？由下圖可以知道目的端口和源端口分別是：56609 和53(21) DNS查詢消息發(fā)送的目的地的IP地址是多少？利用ipconfig命令（ipconfig/all查看你主機(jī)的本地DNS服務(wù)器的IP地址。這兩個(gè)地址相同嗎？目的ip是如下圖是202.103.24.68由上圖可以知道與本地的ip地址是一樣的(22) 檢查DNS查詢消息，它是哪一類型的DNS查詢？該查詢報(bào)文中包含“answers”嗎？遞歸查詢Recursive Query如下圖所示該報(bào)文不包含answer應(yīng)答(23) 檢查DNS查詢響應(yīng)消息，其中共提供了多少個(gè)“answers”？每個(gè)answers包含哪些內(nèi)容？其中只有一個(gè)answers，包含的內(nèi)容如下所示：(24) 考慮一下你的主機(jī)隨后發(fā)送的TCP SYN Segment，包含SYN Segment的IP分組頭部中目的IP地址是否與在DNS查詢響應(yīng)消息中提供的某個(gè)IP地址相對(duì)應(yīng)？SYN Segment的IP分組頭部中目的IP地址是202.114.0.245 與下面的相對(duì)應(yīng)(25) 打開的WEB頁中包含圖片，在獲取每一個(gè)圖片之前，你的主機(jī)發(fā)出新的DNS查詢了嗎？不發(fā)送新的dns查詢(26) DNS查詢消息的目的端口號(hào)是多少？DNS查詢響應(yīng)消息的源端口號(hào)是多少？Dns查詢的目的端口是53 ，dns查詢響應(yīng)源端口也是53(27) DNS查詢消息發(fā)送的目的地的IP地址是多少？這個(gè)地址是你的默認(rèn)本地DNS服務(wù)器的地址嗎？查詢消息發(fā)的目的ip是202.103.24.68 這個(gè)地址是你的默認(rèn)本地DNS服務(wù)器的地址(28) 檢查DNS查詢消息，它是哪一類型的DNS查詢？該查詢消息中包含“answers”嗎？他是遞歸查詢，沒有包含answers消息(29) 檢查DNS查詢響應(yīng)消息，其中提供了多少個(gè)“answers”？每個(gè)answers包含哪些內(nèi)容？包含了一個(gè)answers，他內(nèi)容是如下圖所示(30) DNS查詢消息發(fā)送的目的地的IP地址是多少？這個(gè)地址是你的默認(rèn)本地DNS服務(wù)器地址嗎？目的ip是202.103.24.68 是默認(rèn)的本地dns服務(wù)器地址(31) 檢查DNS查詢消息，它是哪一類型的DNS查詢？該查詢報(bào)文中包含“answers”嗎？他是遞歸查詢，該報(bào)文中不包含answers(32) 檢查DNS查詢響應(yīng)消息，其中響應(yīng)消息提供了哪些MIT名稱服務(wù)器？響應(yīng)消息提供這些MIT名稱服務(wù)器的IP地址了嗎？響應(yīng)消息里包含了一下的服務(wù)器沒有提供ip(33) DNS查詢消息發(fā)送的目的地的IP地址是多少？這個(gè)地址是你的默認(rèn)本地DNS服務(wù)器的地址嗎？如果不是，這個(gè)IP地址相當(dāng)于什么？目的ip地址是202.103.24.68 這個(gè)地址是我的默認(rèn)服務(wù)器ip地址(34) 檢查DNS查詢消息，它是哪一類型的DNS查詢？該查詢報(bào)文中包含“answers”嗎？是遞歸查詢，該報(bào)文沒喲包含answers(35) 檢查DNS查詢響應(yīng)消息，其中提供了多少個(gè)“answers”？每個(gè)answers包含哪些內(nèi)容？包含的內(nèi)容如下面圖中所示：實(shí)驗(yàn)總結(jié)：本次實(shí)驗(yàn)的過程中我學(xué)會(huì)了怎么使用wireshark進(jìn)行基本的數(shù)據(jù)的抓取，以及對(duì)數(shù)據(jù)的基本的一個(gè)分析，已經(jīng)基本掌握了對(duì)數(shù)據(jù)包結(jié)構(gòu)的了解。同時(shí)也更好的理解了數(shù)據(jù)報(bào)的內(nèi)容以及wireshark的使用方法。