wireshark抓包實驗機(jī)協(xié)議分析

《wireshark抓包實驗機(jī)協(xié)議分析》由會員分享，可在線閱讀，更多相關(guān)《wireshark抓包實驗機(jī)協(xié)議分析（22頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 Wireshark抓包及分析實驗 學(xué)生姓名： 夏效程 學(xué)號： V200748016 任務(wù)分配日期：2009-12-16 課程名稱： 計算機(jī)組網(wǎng)技術(shù) WireShark實驗報告 : 用Wireshark完成計算機(jī)網(wǎng)絡(luò)協(xié)議分析 報告開始時間: 2009-12-16 報告截至日期: 2009-12-30 一． 實驗的目的 本次實驗的目的就是要學(xué)會wireshark抓包軟件的基本使用方法，wireshark抓包的基本過程，以及對所抓到的數(shù)據(jù)包進(jìn)行詳細(xì)的分析并能很

2、好的李杰一些基本的數(shù)據(jù)的含義。能達(dá)到對網(wǎng)絡(luò)數(shù)據(jù)的基本的監(jiān)控和查詢的能力。 實驗一 802.3協(xié)議分析和以太網(wǎng) （一）實驗?zāi)康? 1、分析802.3協(xié)議 2、熟悉以太網(wǎng)幀的格式、了解ARP、ICMP、IP數(shù)據(jù)包格式 實驗步驟： 1、捕獲并分析以太幀 （1）清空瀏覽器緩存（在IE窗口中，選擇“工具/Internet選項/刪除文件”命令）。如下圖 （2）啟動WireShark，開始分組捕獲。 （3）在瀏覽器的地址欄中輸入： 瀏覽器將顯示華科大主頁。如下圖所示： （

3、4）停止分組捕獲。首先，找到你的主機(jī)向服務(wù)器發(fā)送的HTTP GET消息的Segment序號，以及服務(wù)器發(fā)送到你主機(jī)上的HTTP 響應(yīng)消息的序號。 http的segement段序號是47 45 54如下圖： 由下圖可以得到服務(wù)器發(fā)送到我主機(jī)上的http響應(yīng)消息的序號是： 由上圖可知為44 ： 1、你的主機(jī)的48位以太網(wǎng)地址(MAC地址)是多少？ 我的主機(jī)的mac地址是： 2、目標(biāo)MAC地址是服務(wù)器的MAC地址嗎？如果不是，該地址是什么設(shè)備的MAC地址？ 不是服務(wù)器的MAC地址；該地址是網(wǎng)關(guān)的地址。 3、給出Frame頭部Typ

4、e字段(2字節(jié))的十六進(jìn)制值。 十六進(jìn)制的值是08 00如圖所示： 4、在包含“HTTP GET”的以太網(wǎng)幀中，字符“G”的位置(是第幾個字節(jié)，假設(shè)Frame頭部第一個字節(jié)的順序為1)？ 如果frame得頭部為順序1，則“G”的位置為67。如下圖所示： 5、以太Frame的源MAC地址是多少？該地址是你主機(jī)的MAC地址嗎？是服務(wù)器的MAC地址嗎？如果不是，該地址是什么設(shè)備的MAC地址？ 由上圖可以得到：源mac地址為：00:1a:a9:1c:07:19該mac地址既不是我主機(jī)的mac地址也不是web服務(wù)器的mac地址，他是網(wǎng)關(guān)地址。 Frame的

5、源地址是 6、以太網(wǎng)幀的目的MAC地址是多少？該地址是你主機(jī)的地址嗎？ 上面的00:13:8f:3a:81:f0就是以太幀的mac地址。該地址是我的主機(jī)地址。 7、給出Frame頭部2-字節(jié)Type字段的十六進(jìn)制值。 由上圖可以知道08:00就是type的值。 8、在包含“OK”以太網(wǎng)幀中，從該幀的第一個字節(jié)算起，”O(jiān)”是第幾個字節(jié)？由下圖可以知道o的地址是：15 9、寫下你主機(jī)ARP緩存中的內(nèi)容。其中每一列的含義是什么？ 以上的顯示寫的依次是：interface：就是自己主機(jī)的ip地址，下面的就是默認(rèn)網(wǎng)關(guān)的

6、ip地址，后面的四十八位的十六進(jìn)制的數(shù)是默認(rèn)網(wǎng)關(guān)的mac地址。 10、包含ARP請求報文的以太網(wǎng)幀的源地址和目的地址的十六進(jìn)制值各是多少？由下圖可以知道源mac地址是：00:1a:1c:07:19目的mac地址是： FF:FF:FF:FF:FF:FF 11、給出Frame頭部Type字段的十六進(jìn)制值。 由上圖可以知道：十六進(jìn)制的值是：08 06 12、從ftp://ftp.rfc-editor.org/innotes/std/std37.txt處下載ARP規(guī)范說明。在http://www.erg.abdn.ac.uk/users/gorry/co

7、urse/inet-pages/arp.html處有一個關(guān)于ARP的討論網(wǎng)頁。根據(jù)操作回答： ①形成ARP響應(yīng)報文的以太網(wǎng)幀中，ARP-payload部分opcode字段的值是多少？ 由上面的圖可以知道opcode的值是00 01 ②在ARP報文中是否包含發(fā)送方的IP地址？ 包含發(fā)送方的ip地址，但是是默認(rèn)網(wǎng)關(guān)的ip地址 13、包含ARP響應(yīng)(reply)報文的以太網(wǎng)幀中，源地址和目的地址的十六進(jìn)制值各是多少？ 以上的de 14 6e fe為源地址的值 上面的顯示的de 14 6e 27是目的地址的值。 實驗三 TCP

8、協(xié)議分析 （一）實驗?zāi)康募叭蝿?wù) 1、熟悉TCP協(xié)議的基本原理 2、利用WireShark對TCP協(xié)議進(jìn)行分析 （二）實驗環(huán)境 1、與因特網(wǎng)連接的計算機(jī)網(wǎng)絡(luò)系統(tǒng)；操作系統(tǒng)為Windows；WireShark、IE等軟件。 2、預(yù)備知識 要深入理解網(wǎng)絡(luò)協(xié)議，需要仔細(xì)觀察協(xié)議實體之間交換的報文序列。為探究協(xié)議操作細(xì)節(jié)，可使協(xié)議實體執(zhí)行某些動作，觀察這些動作及其影響。這些任務(wù)可以在仿真環(huán)境下或在如因特網(wǎng)這樣的真實網(wǎng)絡(luò)環(huán)境中完成。觀察在正在運行協(xié)議實體間交換報文的基本工具被稱為分組嗅探器（packet sniffer）。顧名思義，一個分組嗅探器捕獲（嗅探）計算機(jī)發(fā)送和接收的報文。一般情

9、況下，分組嗅探器將存儲和顯示出被捕獲報文的各協(xié)議頭部字段內(nèi)容。在WireShark介紹部分Figure 1為一個分組嗅探器的結(jié)構(gòu)。 Figure 1右邊是計算機(jī)上正常運行的協(xié)議（在這里是因特網(wǎng)協(xié)議）和應(yīng)用程序（如：web瀏覽器和ftp客戶端）。分組嗅探器（虛線框中的部分）是附加計算機(jī)普通軟件上的，主要有兩部分組成。分組捕獲庫接收計算機(jī)發(fā)送和接收的每一個鏈路層幀的拷貝。高層協(xié)議（如：HTTP、FTP、TCP、UDP、DNS、IP等）交換的報文都被封裝在鏈路層幀(Frame)中，并沿著物理介質(zhì)（如以太網(wǎng)的電纜）傳輸。Figure 1假設(shè)所使用的物理媒體是以太網(wǎng)，上層協(xié)議的報文最終封裝在以太網(wǎng)幀中

10、。 分組嗅探器的第二個組成部分是分析器。分析器用來顯示協(xié)議報文所有字段的內(nèi)容。為此，分析器必須能夠理解協(xié)議所交換的所有報文的結(jié)構(gòu)。例如：我們要顯示Figure 1中HTTP協(xié)議所交換的報文的各個字段。分組分析器理解以太網(wǎng)幀格式，能夠識別包含在幀中的IP數(shù)據(jù)報。分組分析器也要理解IP數(shù)據(jù)報的格式，并能從IP數(shù)據(jù)報中提取出TCP報文段。然后，它需要理解TCP報文段，并能夠從中提取出HTTP消息。最后，它需要理解HTTP消息。 WireShark是一種可以運行在Windows, UNIX, Linux等操作系統(tǒng)上的分組分析器。最初，各窗口中并無數(shù)據(jù)顯示。WireShark的界面主要有五個組成部分

11、： 命令菜單（command menus）：命令菜單位于窗口的最頂部，是標(biāo)準(zhǔn)的下拉式菜單。最常用菜單命令有兩個：File、Capture。File菜單允許你保存捕獲的分組數(shù)據(jù)或打開一個已被保存的捕獲分組數(shù)據(jù)文件或退出WireShark程序。Capture菜單允許你開始捕獲分組。 捕獲分組列表（listing of captured packets）：按行顯示已被捕獲的分組內(nèi)容，其中包括：WireShark賦予的分組序號、捕獲時間、分組的源地址和目的地址、協(xié)議類型、分組中所包含的協(xié)議說明信息。單擊某一列的列名，可以使分組按指定列進(jìn)行排序。在該列表中，所顯示的協(xié)議類型是發(fā)送或接收

12、分組的最高層協(xié)議的類型。 分組頭部明細(xì)（details of selected packet header）：顯示捕獲分組列表窗口中被選中分組的頭部詳細(xì)信息。包括：與以太網(wǎng)幀有關(guān)的信息，與包含在該分組中的IP數(shù)據(jù)報有關(guān)的信息。單擊以太網(wǎng)幀或IP數(shù)據(jù)報所在行左邊的向右或向下的箭頭可以展開或最小化相關(guān)信息。另外，如果利用TCP或UDP承載分組，WireShark也會顯示TCP或UDP協(xié)議頭部信息。最后，分組最高層協(xié)議的頭部字段也會顯示在此窗口中。 分組內(nèi)容窗口（packet content）：以ASCII碼和十六進(jìn)制兩種格式顯示被捕獲幀的完整內(nèi)容。 顯示篩選規(guī)則（display filter

13、 specification）：在該字段中，可以填寫協(xié)議的名稱或其他信息，根據(jù)此內(nèi)容可以對分組列表窗口中的分組進(jìn)行過濾。 （三）實驗步驟 1、捕獲大量的由本地主機(jī)到遠(yuǎn)程服務(wù)器的TCP分組 （1）啟動WireShark，開始分組捕獲。 （2）啟動瀏覽器，打開 （3）停止分組捕獲。 2、瀏覽追蹤信息 （1）在顯示篩選規(guī)則編輯框中輸入“tcp”,可以看到在本地主機(jī)和服務(wù)器之間傳輸?shù)囊幌盗衪cp和HTTP消息，你應(yīng)該能看到包含SYN Segment的三次握手。也可以看到有主機(jī)向服務(wù)器發(fā)送的一個HTTP POST消息和一系列的“http continuation

14、”報文。 如下圖所示： （2）根據(jù)操作回答“（四）實驗報告內(nèi)容”中的1-2題。 3、TCP基礎(chǔ) 根據(jù)操作回答“（四）實驗報告內(nèi)容”中的3-10題 4、TCP擁塞控制 （1）在WireShark已捕獲分組列表子窗口中選擇一個TCP 報文段。選擇菜單： Statistics->TCP Stream Graph-> Time-Sequence-Graph(Stevens)。你會看到如下所示的圖。 （2）根據(jù)操作回答“（四）實驗報告內(nèi)容”中的11-12題。 （四）實驗報告內(nèi)容 在實驗的基礎(chǔ)上，回答以下問題： 1、向服務(wù)器傳送文件的客戶端主機(jī)的IP

15、地址和TCP端口號分別是多少？ 222.20.110.120如下圖所示： Tcp的端口號是3490 2、服務(wù)器的IP地址是多少？對這一連接，它用來發(fā)送和接收TCP報文的端口號是多少？ 服務(wù)器的ip地址是 202.114.0.245 Tcp的端口是80 3、客戶服務(wù)器之間用于初始化TCP連接的TCP SYN報文段的序號（sequence number）是多少？在該報文段中，是用什么來標(biāo)示該報文段是SYN報文段的？ 由上圖可以知道客戶服務(wù)器之間用于初始化TCP連接的TCP SYN報文段的序號是0，用下面圖中所示 標(biāo)示值為0x02 4、服務(wù)器向客戶端發(fā)送的SYNAC

16、K報文段序號是多少？該報文段中，Acknowledgement字段的值是多少？服務(wù)器是如何決定此值的？在該報文段中，是用什么來標(biāo)識該報文段是SYNACK報文段的？ 序號是如圖所示：為59 下面圖中所示：值為1 隨機(jī)生成的Acknowledgement。 如下圖所示可以知道標(biāo)志為 0x10 5、包含HTTP POST消息的TCP報文段的序號是多少？ 6、如果將包含HTTP POST消息的TCP報文段看作是TCP連接上的第一個報文段，那么該TCP連接上的第六個報文段的序號是多少？是何時發(fā)送的？該報文段所對應(yīng)的ACK是何時接收的？ 7、前六個TCP報文段的長度各是多少？

17、 前六個報文段的長度分別是78 ，66 ，54 ，674 ，60，261。 8、在整個跟蹤過程中，接收端向發(fā)送端通知的最小可用緩存是多少？限制發(fā)送端的傳輸以后，接收端的緩存是否仍然不夠用？ 由下圖可以知道最小的緩存是65535 夠用 9、在跟蹤文件中是否有重傳的報文段？判斷的依據(jù)是什么？ 10、TCP連接的吞吐率(bytes transferred per unit time，單位時間傳輸?shù)淖止?jié)數(shù))是多少？寫出你的計算過程。 由上圖可以知道在這個過程中有241個tcp包進(jìn)行了傳遞，而用的時間是13.302451000秒所以就可以進(jìn)行計算 241/13.30245100

18、0=18.116962個/秒 11、 利用Time-Sequence-Graph(Stevens) plotting工具，瀏覽由客戶端向服務(wù)器發(fā)送的報文段序號和時間對應(yīng)關(guān)系圖。你能否辨別出TCP慢啟動階段的起止，以及在何處轉(zhuǎn)入避免擁塞階段？ 12、闡述所測量到的數(shù)據(jù)與TCP理想化的行為有何不同？ 理想化的行為是沒有包括網(wǎng)絡(luò)的擁塞情況的，在實際的網(wǎng)絡(luò)環(huán)境中是不可能沒有延時的，就好似時間的長短問題，所以測量到得會比理想化的小一些，就是效率會低一些。 實驗四 利用WireShark分析HTTP和DNS （一）實驗?zāi)康募叭蝿?wù) 1、熟悉并掌握WireShark的基本操作，了解網(wǎng)絡(luò)協(xié)議實

19、體間的交互以及報文交換。 2、分析HTTP協(xié)議 3、分析DNS協(xié)議 （二）實驗環(huán)境 與因特網(wǎng)連接的計算機(jī)網(wǎng)絡(luò)系統(tǒng)；主機(jī)操作系統(tǒng)為Windows2000或Windows XP；WireShark等軟件。 （三）實驗步驟 1、WireShark的使用 (1) 啟動主機(jī)上的web瀏覽器。 (2) 啟動WireShark。 (3) 開始分組捕獲：選擇“capture”下拉菜單中的“Optios”命令，在“WireShark: Capture Options”窗口中可以設(shè)置分組捕獲的選項。 (4) 在實驗中，可以使用窗口中顯示的默認(rèn)值。在“WireShark: Capture

20、 Options”窗口的最上面有一個“interface”下拉菜單，其中顯示計算機(jī)中所安裝的網(wǎng)絡(luò)接口（即網(wǎng)卡）。當(dāng)計算機(jī)具有多個活動網(wǎng)卡（裝有多塊網(wǎng)卡，并且均正常工作）時，需要選擇其中一個用來發(fā)送或接收分組的網(wǎng)絡(luò)接口（如某個有線接口）。 (5) 隨后，單擊“Start”開始進(jìn)行分組捕獲，所有由選定網(wǎng)卡發(fā)送和接收的分組都將被捕獲。 (6) 開始分組捕獲后，會出現(xiàn)分組捕獲統(tǒng)計窗口。該窗口統(tǒng)計顯示各類已捕獲分組的數(shù)量。在該窗口中有一個“stop”按鈕，可以停止分組的捕獲。 (7) 在運行分組捕獲的同時，在瀏覽器地址欄中輸入某網(wǎng)頁的URL，如：。 i. 為顯示該網(wǎng)頁，瀏覽器需要連接的服務(wù)器，并

21、與之交換HTTP消息，以下載該網(wǎng)頁。包含這些HTTP消息的以太網(wǎng)幀(Frame)將被WireShark捕獲。 ii. WireShark主窗口顯示已捕獲的你的計算機(jī)與其他網(wǎng)絡(luò)實體交換的所有協(xié)議報文，其中一部分就是與服務(wù)器交換的HTTP消息。 (8) 在顯示篩選編輯框中輸入“http”，單擊“apply”，分組列表窗口將只顯示HTTP消息。 (9) 選擇分組列表窗口中的第一條HTTP消息。它應(yīng)該是你的計算機(jī)發(fā)向服務(wù)器的HTTP GET消息。當(dāng)你選擇該消息后，以太網(wǎng)幀、IP數(shù)據(jù)報、TCP報文段、以及HTTP消息首部信息都將顯示在分組首部子窗口中。單擊分組首部詳細(xì)信息子窗口中向右和向下箭頭，可

22、以最小化幀、以太網(wǎng)、IP、TCP信息顯示量，可以最大化HTTP協(xié)議相關(guān)信息的顯示量。 2、HTTP和DNS分析 （1）HTTP GET/response交互 首先通過下載一個非常簡單的HTML文件（該文件非常短，并且不嵌入任何對象）。 （a） 啟動Web 瀏覽器，然后啟動WireShark。在窗口的顯示過濾規(guī)則編輯框處輸入“http”，分組列表子窗口中將只顯示所捕獲到的HTTP消息。 （b） 一分鐘以后，開始WireShark分組捕獲。 （c） 在打開的Web瀏覽器窗口中輸入以下地址： （d） 停止分組捕獲。根據(jù)捕獲窗口內(nèi)容，回答“（四）實驗報告內(nèi)容”中的“2、HTTP和DN

23、S分析”1-6題。 （2）HTTP 條件GET/response交互 （a） 啟動瀏覽器，清空瀏覽器的緩存（在瀏覽器中，選擇“工具”菜單中“Internet選項”命令，在出現(xiàn)的對話框中，選擇“刪除文件”）。 （b） 啟動WireShark。開始WireShark分組捕獲。 （c） 在瀏覽器的地址欄中輸入以下URL: （d） 在你的瀏覽器中重新輸入相同的URL或單擊瀏覽器中的“刷新”按鈕。 （e） 停止WireShark分組捕獲，在顯示過濾篩選說明處輸入“http”,分組列表子窗口中將只顯示所捕獲到的HTTP消息。根據(jù)操作回答“（四）實驗報告內(nèi)容”中的“2、HTTP和DNS分析”

24、7-10題。 （3）獲取長文件 （a） 啟動瀏覽器，將瀏覽器的緩存清空。 （b） 啟動WireShark，開始WireShark分組捕獲。 （c） 在瀏覽器的地址欄中輸入以下URL: （d） 停止WireShark分組捕獲，在顯示過濾篩選編輯框中輸入“http”,分組列表子窗口中將只顯示所捕獲到的HTTP消息。根據(jù)操作回答“（四）實驗報告內(nèi)容”中的“2、HTTP和DNS分析”的11-14題。 （4）嵌有對象的HTML文檔 （a） 啟動瀏覽器，將瀏覽器的緩存清空。 （b） 啟動WireShark。開始WireShark分組捕獲。 （c） 在瀏覽器的地址欄中輸入以下URL

25、: （d） 停止WireShark分組捕獲，在顯示過濾篩選說明處輸入“http”,分組列表子窗口中將只顯示所捕獲到的HTTP消息。根據(jù)操作回答“（四）實驗報告內(nèi)容”中的“2、HTTP和DNS分析”的15-16題。 （5）HTTP認(rèn)證(選作) （a） 啟動瀏覽器，將瀏覽器的緩存清空。 （b） 啟動WireShark。開始WireShark分組捕獲。 （c） 在瀏覽器的地址欄中輸入以下URL: （d） 停止WireShark分組捕獲，在顯示過濾篩選說明處輸入“http”,分組列表子窗口中將只顯示所捕獲到的HTTP消息。根據(jù)操作回答“（四）實驗報告內(nèi)容”中的“2、HTTP和DNS分析

26、”的17-18題。 （6）跟蹤DNS nslookup工具允許主機(jī)向指定的DNS服務(wù)器查詢某個DNS記錄。如果沒有指明DNS服務(wù)器，nslookup將把查詢請求發(fā)向默認(rèn)的DNS服務(wù)器。 nslookup的一般格式是：nslookup –option1 –option2 host-to-find dns-server ipconfig命令用來顯示你當(dāng)前的TCP/IP信息，包括：你的地址、DNS服務(wù)器的地址、適配器的類型等信息。如果，要顯示與主機(jī)相關(guān)的信息用命令： ipconfig/all 如果查看DNS緩存中的記錄用命令： ipc

27、onfig/displaydns 要清空DNS緩存，用命令： ipconfig /flushdns 運行以上命令需要進(jìn)入MSDOS環(huán)境。(開始菜單－>運行－>輸入命令“cmd”) （a） 利用ipconfig命令清空主機(jī)上的DNS緩存。啟動瀏覽器，并將瀏覽器的緩存清空。 （b） 啟動WireShark，在顯示過濾篩選規(guī)則編輯框處輸入：“ip.addr = = your_IP_address”(如：ip.addr= =202.112.20.13)過濾器將會刪除所有目的地址和源地址與指定IP地址都不同的分組。 （c） 開始WireShark分組捕獲。 （d）

28、在瀏覽器的地址欄中輸入： （e） 停止分組捕獲。 （f） 根據(jù)操作回答“（四）實驗報告內(nèi)容”中的 “2、HTTP和DNS分析”19-25題。 （g） 開始WireShark分組捕獲。 （h） 在 （i） 停止分組捕獲。 （j） 根據(jù)操作回答“（四）實驗報告內(nèi)容” 中的 “2、HTTP和DNS分析”26-29題。 （k） 重復(fù)上面的實驗，只是將命令替換為：nslookup –type=NS mit.edu （l） 根據(jù)操作回答“（四）實驗報告內(nèi)容” 中的 “2、HTTP和DNS分析”30-32題。 （m） 根據(jù)操作回答“（四）實驗報告內(nèi)容” 中的 “2、HTTP和DNS分析

29、”33-35題。 （四）實驗報告內(nèi)容 1、WireShark的使用 (1) 列出在第7步中分組列表子窗口所顯示的所有協(xié)議類型。 我所看到的是如下圖所示： (2) 從發(fā)出HTTP GET消息到接收到HTTP OK響應(yīng)報文共需要多長時間？（在默認(rèn)的情況下，分組列表窗口中Time列的值是從WireShark開始追蹤到分組被捕獲時總的時間，以秒為單位。若要按time-of-day格式顯示Time列的值，需選擇View下拉菜單，再選擇Time Display Format，然后選擇Time-of-day。） 由下圖可以知道 時間是0.006917000S (3) 你主機(jī)的IP

30、地址是什么？你所訪問的主頁所在服務(wù)器的IP地址是什么？我的主機(jī)的ip地址是222.20.110.120 我所訪問服務(wù)器的的ip地址是：202.114.0.245如下圖所示： (4) 寫出兩個第9步所顯示的HTTP消息頭部行信息。 2、HTTP和DNS分析 (1) 你的瀏覽器使用的是HTTP1.0，還是HTTP1.1？你所訪問的Web服務(wù)器所使用HTTP協(xié)議的版本號是多少？ 我的瀏覽器是使用的http1.1的；訪問的web頁也是使用的http1.1 (2) 你的瀏覽器向服務(wù)器指出它能接收何種語言版本的對象？ 我的瀏覽器指出能接受的語言是html (3) 你的計算機(jī)的IP地址

31、是多少？服務(wù)器的IP地址是多少？ 我的計算機(jī)ip地址是222.20.110.120 服務(wù)器的IP地址是202.114.0.245 (4) 從服務(wù)器向你的瀏覽器返回response消息的狀態(tài)代碼是多少？ 304如下圖所示： (5) 你從服務(wù)器上所獲取的HTML文件的最后修改時間是多少？ 最后的修改時間如下圖所示為： 可知道是2009年12月12號 (6) 返回到瀏覽器的內(nèi)容一共多少字節(jié)？ (7) 分析你的瀏覽器向服務(wù)器發(fā)出的第一個HTTP GET請求的內(nèi)容，在該請求消息中，是否有一行是：IF-MODIFIED-SINCE？ 有如下圖所示： (8) 分析服務(wù)器響

32、應(yīng)消息的內(nèi)容，服務(wù)器是否明確返回了文件的內(nèi)容？如何獲知？ 由下面的兩個圖可以知道服務(wù)器返回了文件內(nèi)容： 可以看到一些內(nèi)容圖片信息等。 (9) 分析你的瀏覽器向服務(wù)器發(fā)出的第二個“HTTP GET”請求，在該請求報文中是否有一行是：IF-MODIFIED-SINCE？如果有，在該首部行后面跟著的信息是什么？ 有 信息是資源創(chuàng)建的時間。 (10) 服務(wù)器對第二個HTTP GET請求的響應(yīng)消息中的HTTP狀態(tài)代碼是多少？服務(wù)器是否明確返回了文件的內(nèi)容？請解釋。 狀態(tài)的代碼是 服務(wù)器返回的文件內(nèi)容是如下圖所示： 可以看到data之后就是所返回的數(shù)據(jù)。 (11)

33、你的瀏覽器一共發(fā)出了多少個HTTP GET請求？ 我的瀏覽器一共發(fā)了46個http get請求 (12) 承載這一個HTTP響應(yīng)報文一共需要多少個TCP報文段？ 一共需要三個tcp報文段 (13) 與這個HTTP GET請求相對應(yīng)的響應(yīng)報文的狀態(tài)代碼和狀態(tài)短語是什么？ 狀態(tài)代碼是304 狀態(tài)短語是 (14) 在被傳送的數(shù)據(jù)中一共有多少個HTTP狀態(tài)行？ 一共有94個http狀態(tài)行 (15) 你的瀏覽器一共發(fā)出了多少個HTTP GET請求消息？這些請求消息被發(fā)送到的目的地IP地址是多少？ 46個請求消息 目的ip是202.114.0.245 (16) 瀏覽器在下載這兩個圖片時

34、，是串行下載還是并行下載？請解釋。 是串行下載，因為數(shù)據(jù)的傳輸時是按順序傳輸?shù)?，而且不同的圖片被包含在不同的幀當(dāng)中進(jìn)行傳輸，圖片的傳輸是串行的。 (17) 對于瀏覽器發(fā)出的、最初的HTTP GET請求消息，服務(wù)器的響應(yīng)消息的狀態(tài)代碼和狀態(tài)短語分別是什么? 狀態(tài)代碼是304，狀態(tài)語是 (18) 當(dāng)瀏覽器發(fā)出第二個HTTP GET請求消息時，在HTTP GET消息中包含了哪些新的頭部行？ 多了這個消息 (19) 定位到DNS查詢消息和查詢響應(yīng)報文，這兩種報文的發(fā)送是基于UDP還是基于TCP的？ 這兩種報文是基于udp的是無連接的 (20) DNS查詢消息的目的端口號是多少？DNS查

35、詢響應(yīng)消息的源端口號是多少？ 由下圖可以知道目的端口和源端口分別是：56609 和53 (21) DNS查詢消息發(fā)送的目的地的IP地址是多少？利用ipconfig命令（ipconfig/all查看你主機(jī)的本地DNS服務(wù)器的IP地址。這兩個地址相同嗎？ 目的ip是如下圖是202.103.24.68 由上圖可以知道與本地的ip地址是一樣的 (22) 檢查DNS查詢消息，它是哪一類型的DNS查詢？該查詢報文中包含“answers”嗎？ 遞歸查詢Recursive Query如下圖所示 該報文不包含answer應(yīng)答 (23) 檢查DNS查詢響應(yīng)消息，其中共提供了多少

36、個“answers”？每個answers包含哪些內(nèi)容？ 其中只有一個answers，包含的內(nèi)容如下所示： (24) 考慮一下你的主機(jī)隨后發(fā)送的TCP SYN Segment，包含SYN Segment的IP分組頭部中目的IP地址是否與在DNS查詢響應(yīng)消息中提供的某個IP地址相對應(yīng)？ SYN Segment的IP分組頭部中目的IP地址是202.114.0.245 與下面的相對應(yīng) (25) 打開的WEB頁中包含圖片，在獲取每一個圖片之前，你的主機(jī)發(fā)出新的DNS查詢了嗎？ 不發(fā)送新的dns查詢 (26) DNS查詢消息的目的端口號是多少？DNS查詢響應(yīng)消息的源端口號是多少？ D

37、ns查詢的目的端口是53 ，dns查詢響應(yīng)源端口也是53 (27) DNS查詢消息發(fā)送的目的地的IP地址是多少？這個地址是你的默認(rèn)本地DNS服務(wù)器的地址嗎？ 查詢消息發(fā)的目的ip是202.103.24.68 這個地址是你的默認(rèn)本地DNS服務(wù)器的地址 (28) 檢查DNS查詢消息，它是哪一類型的DNS查詢？該查詢消息中包含“answers”嗎？ 他是遞歸查詢，沒有包含answers消息 (29) 檢查DNS查詢響應(yīng)消息，其中提供了多少個“answers”？每個answers包含哪些內(nèi)容？ 包含了一個answers，他內(nèi)容是如下圖所示 (30) DNS查詢消息發(fā)送的目的地的I

38、P地址是多少？這個地址是你的默認(rèn)本地DNS服務(wù)器地址嗎？ 目的ip是202.103.24.68 是默認(rèn)的本地dns服務(wù)器地址 (31) 檢查DNS查詢消息，它是哪一類型的DNS查詢？該查詢報文中包含“answers”嗎？ 他是遞歸查詢，該報文中不包含answers (32) 檢查DNS查詢響應(yīng)消息，其中響應(yīng)消息提供了哪些MIT名稱服務(wù)器？響應(yīng)消息提供這些MIT名稱服務(wù)器的IP地址了嗎？ 響應(yīng)消息里包含了一下的服務(wù)器 沒有提供ip (33) DNS查詢消息發(fā)送的目的地的IP地址是多少？這個地址是你的默認(rèn)本地DNS服務(wù)器的地址嗎？如果不是，這個IP地址相當(dāng)于什么？ 目的ip地址是202.103.24.68 這個地址是我的默認(rèn)服務(wù)器ip地址 (34) 檢查DNS查詢消息，它是哪一類型的DNS查詢？該查詢報文中包含“answers”嗎？ 是遞歸查詢，該報文沒喲包含answers (35) 檢查DNS查詢響應(yīng)消息，其中提供了多少個“answers”？每個answers包含哪些內(nèi)容？ 包含的內(nèi)容如下面圖中所示： 實驗總結(jié)： 本次實驗的過程中我學(xué)會了怎么使用wireshark進(jìn)行基本的數(shù)據(jù)的抓取，以及對數(shù)據(jù)的基本的一個分析，已經(jīng)基本掌握了對數(shù)據(jù)包結(jié)構(gòu)的了解。同時也更好的理解了數(shù)據(jù)報的內(nèi)容以及wireshark的使用方法。