Wireshark抓包系列教程之二:HTTP协议分析
本教程参考: A Top-Down Approach, 6th ed 一书中 Wireshark_HTTP_v6.1 进行协议分析实验,点击从 官网 免费下载。
实验一:基本的 HTTP GET/Response 操作
(1)实验步骤:
①打开浏览器;
②开启 Wireshark,但不开始数据包捕获。在 Wireshark 主窗口顶部的 Filter中输入“ http”,因此只有捕获的 HTTP 消息稍后会显示在数据包列表窗口中;
③等待大约一分钟,然后开始 Wireshark 数据报捕获;
④在浏览器中输入如下地址: http://gaia.cs.umass.edu/wireshark-labs/HTTP-wireshark-file1.html 浏览器将会显示一个很简单的且只有一行的
HTML 文件;
⑤停止 Wireshark 的数据报捕获。
得到如下66,70两条数据报:
(2)回答问题:
Q1.你的浏览器运行的 HTTP 是 1.0 版本还是 1.1 版本?服务器运行 HTTP 是哪个版本?A1.我的浏览器运行的是1.1版本,服务器运行的也是1.1版本。
Q2.你的浏览器能接受服务器的哪些语言?A2.我的浏览器能接受zh-cn和zh等语言。
Q3.你的电脑的 IP 地址是多少? gaia.cs.umass.edu服务器的 IP 地址是多少?A3.我的IP地址是172.31.192.70,服务器的IP地址是128.119.245.12
Q4.从服务器返回到你的浏览器的状态码是什么?A4.状态码是200.
Q5.什么时候在服务器端得到最后修正的 HTML 文件?A5.2016.7.13 05:59:01
Q6.多少字节的内容已经返回到你的浏览器?A6.Content-Length:128字节。
Q7.除以上已回答过的字段外,头部还有哪些字段?在数据包内容窗口中检查原始数据,是否有未在数据包列表中显示的头部?
A7.HTTP请求报文中还有Host字段、connection字段、Accept字段、User-agent字段、Accept-Encoding字段等。
HTTP响应报文中还有server字段、connection字段等。
实验二:HTTP GET/Response 有条件的相互作用
(1)实验步骤:
在开始前先确信你的浏览器缓存是空的,对于 IE 浏览器选择工具-Internet 选项-删除文件,钩选“删除全部文件”从你的浏览器中移除缓存的文件,然后点击确定按钮。现在按以下步骤做:
①打开 Wireshark,开始数据包捕获。
②在你的浏览器中输入如下的 URL 地址: http://gaia.cs.umass.edu/wireshark-labs/HTTP-wireshark-file2.html
浏览器将会显示一个很简单的 5 行的 HTML 文件;
③快速地在你的浏览器中再次输入相同的 URL(或者点一下刷新);
④停止 Wireshark 数据包捕获,在在 Wireshark 主窗口顶部的 Filter 中输入“ http”,因此只有捕获的 HTTP 消息稍后将会显示在数据包列表窗口中。
得到如下数据报:
红框中的数据正是我们要获取的,即两次HTTP的请求和响应。
(2)回答问题:
Q8.从你的浏览器到服务器得到的请求中检查第一个 HTTP GET 的内容。在 HTTP GET中你有没有看到一行“ IF-MODIFIED-SINCE” ?为什么?A8.没有这行,因为这是浏览器首次获取该页面。
Q9.检查服务器回应内容,服务器明确地返回了文件的内容吗?你怎样断定?A9.明确返回了。从line-based text data中的数据可以看出。
Q10.现在从你的浏览器到服务器得到的请求中检查第二个 HTTP GET 的内容。 在 HTTP GET 中你有没有看到一行“ IF-MODIFIED-SINCE” ?如果有,在“ IF-MODIFIED-SINCE”头部有什么信息?A10.有这行字段。信息为上次访问该网址的时间。
Q11.第二次 HTTP 返回的状态码是多少?从服务器返回的响应第二个 HTTP GET 的短语是什么?服务器明确地返回了文件的内容吗?为什么?A11.状态码是304,短语是Not Modified,并没有明确返回文件内容,因为该网页内容在上次访问之后未被修改过,且本浏览器中有上次访问的缓存。
实验三:得到较长的文档
(1)实验步骤:
在前面实验得到的文档是简单和短小的 HTML 文件, 让我们来看看下载一个长的 HTML文件时会出现什么。按以下要求做:
①打开你的浏览器,确信你的浏览器缓存是空的,就如上面讨论的;
②打开 Wireshark,开始数据包捕获;
③在你的浏览器中输入如下的 URL 地址: http://gaia.cs.umass.edu/wireshark-labs/HTTP-wireshark-file3.html 你的浏览器将会显示相当长的美国权利法案;
④停止 Wireshark 数据包捕获,在 Filter 栏输入“ http”,因此只有捕获的 HTTP 消息稍后将会显示在数据包列表窗口中。
(2)回答问题:
Q12.你的浏览器发送了多少个HTTP GET请求消息?A12.1个。
Q13.传输这一个HTTP响应需要多少个TCP数据段?
A13.4个TCP数据段。
Q14.响应HTTP GET请求的相关的状态码和短语是什么?A14.200 OK.
Q15.在TCP“Continuation”附加关联的传输数据中有没有HTTP状态码和短语?A15.有。
实验四:带有内嵌对象的HTML文档
(1)实验步骤:
①打开浏览器,确信你的浏览器缓存是空的,就如上面讨论的;
②打开 Wireshark Network Analyzer,开始数据包捕获;
③在你的浏览器中输入如下的 URL 地址:http://gaia.cs.umass.edu/wireshark-labs/HTTP-wireshark-file4.html ④停止 Wireshark 数据包捕获,在 Filter 窗口中输入“ http”,因此只有捕获的 HTTP 消
息稍后将会显示在数据包列表窗口中。
(2)回答问题:
Q16. 你的浏览器发送了多少个HTTP GET请求消息?这些GET请求发送到哪些IP地址?A16. 110.227.172.54;128.119.245.12;184.30.179.55;128.119.240.90;128.119.240.90;221.235.252.171;共6个GET请求。(你做的可能和我的有区别,我访问的时候,上面的图片没有加载出来)
Q17.你的浏览器是否同时下载这两张图片(并发的从两个网站上下载图片)?你是如何判断的?
A17.不是并发下载的,是先后请求先后到达的。
实验五:HTTP认证
(1)实验步骤:
①确信你的浏览器缓存是空的,就如上面讨论的。关闭你的浏览器,然后再打开;
②打开 Wireshark Network Analyzer,开始数据包捕获;
③在你的浏览器中输入如下的 URL 地址: http://gaia.cs.umass.edu/wireshark-labs/protected_pages/HTTP-wireshark-file5.html 在出现的对话框中输入用户名和密码,用户名是“wireshark-students”,密码是“network”;
④停止Wireshark 数据包捕获,在Filter窗口中输入“ http”,因此只有捕获的HTTP消息稍后将会显示在数据包列表窗口中。
(2)回答问题:
Q18.服务器对起初的HTTP GET消息的响应(状态码和短语)是什么?与前一部分实验相比,在这个响应消息中出现了什么新的字段?A18. 401 Authorization Required,出现了www-Authenticate字段。
Q19.当你的浏览器第二次发送HTTP GET消息时,有什么新的字段被包含在HTTP GET消息中?对应的服务器响应有没有新的字段出现?A19. GET消息中出现了新的Authorization字段。服务器响应出现了ETag字段。
Q20.当你的浏览器第三次发送HTTP GET消息时, 有什么新的字段被包含在HTTP GET消息中?当你输入正确的用户名和密码后,服务器给出的响应是什么?A20. HTTP request字段。给出如下页面响应。