网络分析协议实验指导书.docxVIP

利用wireshark分析HTTP协议 实验目的 分析HTTP协议 实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 实验步骤 利用Wireshark俘获HTTP分组 在进行跟踪之前，我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的，而不是从高速缓冲中取得的。之后，还要在客户端清空DNS高速缓存，来确保Web服务器域名到IP地址的映射是从网络中请求。在WindowsXP机器上，可在命令提示行输入ipconfig/flushdns完成操作。 启动Wireshrk 分组俘获器。 在Web 浏览器中输入： /wireshark-labs/HTTP-wireshark-file1.html 停止分组捕获。 图1：利用Wireshark俘获的HTTP分组 浏览Web页面经过如下三个过程： DNS解析 在URL 中， 是一个具体的web 服务器的域名。最前面有两个DNS分组。第一个分组是将域名转换成为对应的IP 地址的请求，第二个分组包含了转换的结果。这个转换是必要的，因为网络层协议——IP协议，是通过点分十进制来表示因特网主机的，而不是通过这样的域名。当输入URL 时，将要求Web服务器从主机上请求数据，但首先Web浏览器必须确定这个主机的IP地址。 TCP连接建立 随着转换的完成，Web浏览器与Web服务器建立一个TCP连接。 HTTP交互 Web 浏览器使用已建立好的TCP连接来发送请求“GET/HTTP/1.1”。这个分组描述了要求的行为（“GET”）及文件（只写“/”是因为我们没有指定额外的文件名），还有所用到的协议的版本（“HTTP/1.1”）。 分析截获的结果，回答下列问题： 粘贴前面的地址解析的两个DNS分组 1)DNS协议主要使用UDP封装还是TCP封装？ ___TCP封装___ ____________ 2) DNS查询消息的IP地址是____05______________？你默认的本地DNS服务器的IP地址是___5_______________？ 3)DNS查询消息的目的端口是____domain(53)______________？DNS响应消息的源端口是______20430____________？ 粘贴Web浏览器与 Web服务器建立一个TCP连接的三次握手报文 2、HTTP GET/response交互 图 HTTP GET请求信息 （1）在协议框中，选择“GET/HTTP/1.1” 所在的分组会看到这个基本请求行后跟随着一系列额外的请求首部。在首部后的“\r\n”表示一个回车和换行，以此将该首部与下一个首部隔开。 “Host”首部在HTTP1.1版本中是必须的，它描述了URL中机器的域名，本例中是 。这就允许了一个Web服务器在同一时间支持许多不同的域名。有了这个数不，Web服务器就可以区别客户试图连接哪一个Web服务器，并对每个客户响应不同的内容，这就是HTTP1.0到1.1版本的主要变化。 User-Agent首部描述了提出请求的Web浏览器及客户机器。 接下来是一系列的Accpet首部，包括Accept（接受）、Accept-Language（接受语言）、Accept-Encoding（接受编码）、Accept-Charset（接受字符集）。它们告诉Web服务器客户Web浏览器准备处理的数据类型。Web服务器可以将数据转变为不同的语言和格式。这些首部表明了客户的能力和偏好。 Keep-Alive及Connection首部描述了有关TCP连接的信息，通过此连接发送HTTP请求和响应。它表明在发送请求之后连接是否保持活动状态及保持多久。大多数HTTP1.1连接是持久的（persistent）,意思是在每次请求后不关闭TCP连接，而是保持该连接以接受从同一台服务器发来的多个请求。 （2）我们已经察看了由Web浏览器发送的请求，现在我们来观察Web服务器的回答。响应首先发送“HTTP/1.1 200 ok”，指明它开始使用HTTP1.1版本来发送网页。同样，在响应分组中，它后面也跟随着一些首部。最后，被请求的实际数据被发送。 图 HTTP 响应 第一个Cache-control首部，用于描述是否将数据的副本存储或高速缓存起来，以便将来引用。一般个人的Web浏览器会高速缓存一些本机最近访问过的网页，随后对同一页面再次进行访问时，如果该网页仍存储于高速缓存中，则不再向服务器请求数据。类似地，在同一个网络中的计算机可以共享一些存在高速缓存中的页面，防止多个用户通过到其他网路的低速网路连接从网上获取相同的数据。这样的高速缓存被称为代理高速缓存（proxy cache）。在我们所俘获的分组中我们看到“Cache-control”首部值