2024年6月10日发(作者:)

用wireshark分析 和 Dns 报文

一、 请求报文和响应报文

wireshark所抓的一个含有请求报文的帧:

1、 帧的解释

链路层的信息上是以帧的形式进展传输的,帧封装了应

用层、传输层、网络层的数据.而wireshark抓到的就是链

路层的一帧.

图中解释:

Frame 18: 所抓帧的序号是11,大小是409字节

Ethernet : 以太网,有线局域网技术 ,属链路层

Inernet Protocol:即IP协议,也称网际协议,属网络层

Transmisson Control Protocol:即TCP协议,也称传输控

制协议.属传输层

Hypertext transfer protocol:即协议,也称超文本传

输协议.属应用层

图形下面的数据是对上面数据的16进制表示.

2、 分析上图中的请求报文

报文分析:

请求行

GET /img/2009people_index/images/hot_ /1.1

方法字段 / URL字段 /协议的版本

我们发现,报文里有对请求行字段的相关解释.该报文请求的是一

个对象,该对象是图像.

首部行

Accept: */*

Referer: m/这是

Accept-Language: zh-语言中文

Accept-Encoding: gzip, deflate可承受编码,文件格式

用户代理,浏览器的类型是Netscape浏览器;括号内是

相关解释

Host: 目标所在的主机

Connection: Keep-Alive激活连接

在抓包分析的过程中还发现了另外一些请求报文中所特有的首

部字段名,比如下面请求报文中橙黄色首部字段名:

.

Accept: */*

Referer: 这是html文件

Accept-Language: zh-语言中文

Accept-Encoding: gzip, deflate可承受编码,文件格式

If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT内容是否被修改:最后一次修改时

If-None-Match: "9a4041-197-2f11e280" 关于资源的任何属性

〔 ETags值〕 在ETags的值中可以表现,是否改变

用户代理,浏览器的类型是Netscape浏览器;括号内是相关解释

目标所在的主机

Connection: Keep-Alive 激活连接

Cookie: cdb_sid=0Ocz4H; cdb_oldtopics=D345413D; cdb_visitedfid=17;

__gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY24VDbjc1A

cookie,允许站点跟踪用户,coolie ID是7ab350574834b14b

3、 分析的响应报文,针对上面请求报文的响应报文如下:

wireshark对于2中请求报文的响应报文:

展开响应报文:

报文分析:

状态行:

/1.0 200 OK

首部行:

Content-Length: 159

内容长度

Accept-Ranges: bytes

承受X围

Server: nginx

服务器

X-Cache

经过了缓存服务器

路由响应信息

Date: Fri, 22 Oct 2010 12:09:42 GMT

响应信息创建的时间

Content-Type: image/gif

内容类型 图像

Expires: Fri, 22 Oct 2010 12:10:19 GMT

设置内容过期时间

Last-Modified: Fri, 11 Jun 2010 00:50:48 GMT

内容最后

一次修改时间

Powered-By-ChinaCache:PENDINGfromC-BJ-D-3BA

ChinaCache

先的内容分发网络〔CDN〕在中国的服务提供商.

的是一家领

Age: 34

缓存有效34天

Powered-By-ChinaCache: HIT from USA-SJ-1-3D3

ChinaCache是一家领先的内容分发网络〔CDN〕在中国的服务提供商.

Connection: keep-alive

保持TCP连接

图中最后一行puserve GIF 是对所传图像的信息的描述

.

GIF是puserve公司开发的图像格式标准.

二、 DNS查询报文和回答报文

1、 Wireshark所抓的DNS查询报文:

展开DNS查询报文:

报文分析:

首部区域:

标识符:Transaction ID: 0x4b48

16位比特数,标志该查询

标志: Flags: 0x0100〔standard query〕

0………. ….= Respone:Messsage is a query

0表示为dns查询报文

.000 0……. ….=opcode: standard query<0>

操作码为标准查询

.… ..0. …. ….=Truncated:message is not

truncated

信息没有被截断

.… ..1. …. ….=Recursion desired:Do query

recursively

执行递归查询

…. …. .0.. …..=z:reserved〔0〕

…. …. …0 …..=Nontheticated data: unacceptable

问题数:Question:1

只查询一个主机名

回答RR数:Answer RRS:0

权威RR数:Authority RRS:0

附加RR数:Additional RRS:0

问题区域:

Type A

class:IN<0x0001>

包含最初请求的名字的资源记录

权威〔资源记录的变量数〕:

附加信息:

2、Wireshark 对应的DNS回答报文:

展开DNS回答报文:

报文分析:

首部区域:

标识符:Transaction ID: 0x4b48

16位比特数,与对应的查询报文标识

符一样

标志: Flags: 0x8180〔standard query〕

问题数:Question:1

表示只查询一个主机

回答RR数:Answer RRS:5

表示该主机对应的有5条资源记

.

权威RR数:Authority RRS:0

附加RR数:Additional RRS:0

问题区域:

Type A

class:IN<0x0001>

最初请求的名字的资源记录

回答〔资源记录的变量数〕:Answers

5条RR,即主机与ip的5条资源记录

权威〔资源记录的变量数〕:

附加信息:

.