2024年2月20日发(作者:)
用wireshark分析Http 和 Dns 报文
一、 http请求报文和响应报文
wireshark所抓的一个含有http请求报文的帧:
1、 帧的解释
链路层的信息上是以帧的形式进行传输的,帧封装了应用层、传输层、网络层的数据。而wireshark抓到的就是链路层的一帧。
图中解释:
Frame 18: 所抓帧的序号是11,大小是409字节
Ethernet : 以太网,有线局域网技术 ,属链路层
Inernet Protocol:即IP协议,也称网际协议,属网络层
Transmisson Control Protocol:即TCP协议,也称传输控制协议。属传输层
Hypertext transfer protocol:即http协议,也称超文本传
输协议。属应用层
图形下面的数据是对上面数据的16进制表示。
2、 分析上图中的http请求报文
报文分析:
请求行:
GET /img/2009people_index/images/hot_ HTTP/1.1
方法字段 / URL字段 /http协议的版本
我们发现,报文里有对请求行字段的相关解释。该报文请求的是一个对象,该对象是图像。
首部行:
Accept: */*
Referer: / 这是网站网址
Accept-Language: zh-cn 语言中文
Accept-Encoding: gzip, deflate 可接受编码,文件格式
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;
CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30;
360SE)
用户代理,浏览器的类型是Netscape浏览器;括号内是相关解释
Host: 目标所在的主机
Connection: Keep-Alive 激活连接
在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名,比如下面http请求报文中橙黄色首部字段名:
Accept: */*
Referer: / 这是html文件网址
Accept-Language: zh-cn 语言中文
Accept-Encoding: gzip, deflate 可接受编码,文件格式
If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT 内容是否被修改:最后一次修改时间
If-None-Match: "9a4041-197-2f11e280" 关于资源的任何属性
( ETags值) 在ETags的值中可以体现,是否改变
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET
CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)
用户代理,浏览器的类型是Netscape浏览器;括号内是相关解释
Host: 目标所在的主机
Connection: Keep-Alive 激活连接
Cookie: cdb_sid=0Ocz4H; cdb_oldtopics=D345413D; cdb_visitedfid=17;
__gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY24VDbjc1A
cookie,允许站点跟踪用户,coolie ID是7ab350574834b14b
3、 分析http的响应报文,针对上面请求报文的响应报文如下:
wireshark对于2中http请求报文的响应报文:
展开http响应报文:
报文分析:
状态行:
HTTP/1.0 200 OK
首部行:
Content-Length: 159
内容长度
Accept-Ranges: bytes
接受范围
Server: nginx
服务器
X-Cache: MISS from
经过了缓存服务器
Via::80(squid/14-20070808)
路由响应信息
Date: Fri, 22 Oct 2010 12:09:42 GMT
响应信息创建的时间
Content-Type: image/gif
内容类型 图像
Expires: Fri, 22 Oct 2010 12:10:19 GMT
设置内容过期时间
Last-Modified: Fri, 11 Jun 2010 00:50:48 GMT
内容最后
一次修改时间
Powered-By-ChinaCache:PENDING
from CNC-BJ-D-3BA
ChinaCache的是一家领先的内容分发网络(CDN)在中国的服务提供商。
Age: 34
缓存有效34天
Powered-By-ChinaCache: HIT from USA-SJ-1-3D3
ChinaCache是一家领先的内容分发网络(CDN)在中国的服务提供商。
Connection: keep-alive
保持TCP连接
图中最后一行compuserve GIF 是对所传图像的信息的描述
GIF是compuserve公司开发的图像格式标准。
二、 DNS查询报文和回答报文
1、 Wireshark所抓的DNS查询报文:
该查询报文是查询 的IP地址,使用的传输层协议是UDP协议。
展开DNS查询报文:
报文分析:
首部区域:
标识符:Transaction ID: 0x4b48
16位比特数,标志该查询
标志: Flags: 0x0100(standard query)
0… … …. ….= Respone:Messsage is a query
0表示为dns查询报文
.000 0… …. ….=opcode: standard query(0)
操作码为标准查询
.… ..0. …. ….=Truncated:message is not truncated
信息没有被截断
.… ..1. …. ….=Recursion desired:Do query
recursively
执行递归查询
…. …. .0.. …..=z:reserved(0)
…. …. …0 …..=Nontheticated data: unacceptable
问题数:Question:1
只查询一个主机名
回答RR数:Answer RRS:0
权威RR数:Authority RRS:0
附加RR数:Additional RRS:0
问题区域:
问题(问题变量数):: type A, class IN
查询一个主机
回答(资源记录的变量数): Name:
Type A(Host address)
class:IN(0x0001)
包含最初请求的名字的资源记录
权威(资源记录的变量数):无
附加信息:
无
2、Wireshark 对应的DNS回答报文:
展开DNS回答报文:
报文分析:
首部区域:
标识符:Transaction ID: 0x4b48
16位比特数,与对应的查询报文标识符相同
标志: Flags: 0x8180(standard query)
问题数:Question:1
表示只查询一个主机
回答RR数:Answer RRS:5
表示该主机对应的有5条资源记录
权威RR数:Authority RRS:0
附加RR数:Additional RRS:0
问题区域:
问题(问题变量数):: type A, class IN
Name:
Type A(Host address)
class:IN(0x0001)
最初请求的名字的资源记录
回答(资源记录的变量数):
Answers
5条RR,即主机与ip的5条资源记录
权威(资源记录的变量数):无
附加信息:
无
发布评论