wireshark抓包分析文档格式.doc
- 文档编号:13162796
- 上传时间:2022-10-07
- 格式:DOC
- 页数:8
- 大小:327.50KB
wireshark抓包分析文档格式.doc
《wireshark抓包分析文档格式.doc》由会员分享,可在线阅读,更多相关《wireshark抓包分析文档格式.doc(8页珍藏版)》请在冰豆网上搜索。
输协议。
属应用层
图形下面的数据是对上面数据的16进制表示。
2、分析上图中的http请求报文
报文分析:
请求行:
GET/img/2009people_index/images/hot_key.gifHTTP/1.1
方法字段/URL字段/http协议的版本
我们发现,报文里有对请求行字段的相关解释。
该报文请求的是一个对象,该对象是图像。
首部行:
Accept:
*/*
Referer:
这是网站网址
Accept-Language:
zh-cn语言中文
Accept-Encoding:
gzip,deflate可接受编码,文件格式
User-Agent:
Mozilla/4.0(compatible;
MSIE6.0;
WindowsNT5.1;
SV1;
CIBA;
.NETCLR2.0.50727;
.NETCLR1.1.4322;
.NETCLR3.0.04506.30;
360SE)
用户代理,浏览器的类型是Netscape浏览器;
括号内是相关解释
Host:
目标所在的主机
Connection:
Keep-Alive激活连接
在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名,比如下面http请求报文中橙黄色首部字段名:
这是html文件网址
zh-cn语言中文
gzip,deflate可接受编码,文件格式
If-Modified-Since:
Sat,13Mar201006:
59:
06GMT内容是否被修改:
最后一次修改时间
If-None-Match:
"
9a4041-197-2f11e280"
关于资源的任何属性
(ETags值)在ETags的值中可以体现,是否改变
360SE)
目标所在的主机
Keep-Alive激活连接
Cookie:
cdb_sid=0Ocz4H;
cdb_oldtopics=D345413D;
cdb_visitedfid=17;
__gads=ID=7ab350574834b14b:
T=1287731680:
S=ALNI_Mam5QHAAK2cJdDTRuSxY24VDbjc1A
cookie,允许站点跟踪用户,coolieID是7ab350574834b14b
3、分析http的响应报文,针对上面请求报文的响应报文如下:
wireshark对于2中http请求报文的响应报文:
展开http响应报文:
状态行:
HTTP/1.0200OK
Content-Length:
159内容长度
Accept-Ranges:
bytes接受范围
Server:
nginx服务器
X-Cache:
MISSfrom经过了缓存服务器
Via:
:
80(squid/2.6.STABLE14-20070808)路由响应信息
Date:
Fri,22Oct201012:
09:
42GMT响应信息创建的时间
Content-Type:
image/gif内容类型图像
Expires:
10:
19GMT设置内容过期时间
Last-Modified:
Fri,11Jun201000:
50:
48GMT内容最后
一次修改时间
Powered-By-ChinaCache:
PENDINGfromCNC-BJ-D-3BAChinaCache的是一家领先的内容分发网络(CDN)在中国的服务提供商。
Age:
34缓存有效34天
HITfromUSA-SJ-1-3D3
ChinaCache是一家领先的内容分发网络(CDN)在中国的服务提供商。
keep-alive保持TCP连接
图中最后一行compuserveGIF是对所传图像的信息的描述
GIF是compuserve公司开发的图像格式标准。
二、DNS查询报文和回答报文
1、Wireshark所抓的DNS查询报文:
该查询报文是查询的IP地址,使用的传输层协议是UDP协议。
展开DNS查询报文:
首部区域:
标识符:
TransactionID:
0x4b4816位比特数,标志该查询
标志:
Flags:
0x0100(standardquery)
0……….….=Respone:
Messsageisaquery
0表示为dns查询报文
.0000…….….=opcode:
standardquery(0)
操作码为标准查询
.…..0.….….=Truncated:
messageisnottruncated
信息没有被截断
.…..1.….….=Recursiondesired:
Doqueryrecursively执行递归查询
….…..0..…..=z:
reserved(0)
….….…0…..=Nontheticateddata:
unacceptable
问题数:
Question:
1只查询一个主机名
回答RR数:
AnswerRRS:
权威RR数:
AuthorityRRS:
0
附加RR数:
AdditionalRRS:
问题区域:
问题(问题变量数):
typeA,classIN
查询一个主机
回答(资源记录的变量数):
Name:
TypeA(Hostaddress)
class:
IN(0x0001)
包含最初请求的名字的资源记录
权威(资源记录的变量数):
无
附加信息:
无
2、Wireshark对应的DNS回答报文:
展开DNS回答报文:
0x4b4816位比特数,与对应的查询报文标识符相同
0x8180(standardquery)
1表示只查询一个主机
5表示该主机对应的有5条资源记录
Name:
class:
IN(0x0001)
最初请求的名字的资源记录
Answers
5条RR,即主机与ip的5条资源记录
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- wireshark 分析