基于wireshark的HTTP協(xié)議分析

1、長沙理工大學(xué)計(jì)算機(jī)與通信工程學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)報(bào)告 學(xué) 院 計(jì)算機(jī)與通信工程 專 業(yè) 通信工程 班 級 通信1003班 學(xué) 號 201054080333 學(xué)生姓名 趙旋 指導(dǎo)教師 熊兵 課程成績 完成日期 2013年7月11日 課程設(shè)計(jì)成績評定院 系 計(jì)算機(jī)與通信工程 專 業(yè) 通信工程 班 級 1003 學(xué) 號 201054080333 學(xué)生姓名 趙旋 指導(dǎo)教師 熊兵 指導(dǎo)教師對學(xué)生在課程設(shè)計(jì)中的評價(jià)評分項(xiàng)目優(yōu)良中及格不及格學(xué)習(xí)態(tài)度與遵守紀(jì)律情況課程設(shè)計(jì)完成情況課程設(shè)計(jì)報(bào)告的質(zhì)量 指導(dǎo)教師成績 指導(dǎo)教師簽字 年 月 日課程設(shè)計(jì)答辯組對學(xué)生在課程設(shè)計(jì)中的評價(jià)評分項(xiàng)目優(yōu)良中及格不及格課程設(shè)計(jì)完

2、成情況課程設(shè)計(jì)報(bào)告的質(zhì)量課程設(shè)計(jì)答辯 答辯組成績 答辯組長簽字 年 月 日課程設(shè)計(jì)綜合成績 注：課程設(shè)計(jì)綜合成績指導(dǎo)教師成績×60%答辯組成績×40%課程設(shè)計(jì)任務(wù)書計(jì)算機(jī)與通信工程 學(xué)院 通信工程 專業(yè) 課程名稱計(jì)算機(jī)網(wǎng)絡(luò)時(shí)間2013學(xué)年第二學(xué)期1920周學(xué)生姓名趙旋指導(dǎo)老師熊兵題 目基于wireshark的HTTP協(xié)議分析主要內(nèi)容：1、利用wireshark軟件進(jìn)行抓包；2、分析HTTP協(xié)議的數(shù)據(jù)包；3、分析HTTP（Address Resolution Protocol）報(bào)文格式；要求：（1） 掌握用wireshark軟件的操作。（2）按照要求來寫課程設(shè)計(jì)報(bào)告，能夠正確

3、分析HTTP協(xié)議的內(nèi)容。應(yīng)當(dāng)提交的文件： （1）課程設(shè)計(jì)報(bào)告。 第 16 頁 共 20 頁 趙旋 基于wireshark的HTTP協(xié)議分析 基于Wireshark的HTTP協(xié)議分析學(xué)生姓名：趙旋 指導(dǎo)老師：熊兵摘 要 本文通過協(xié)議分析工具Wireshark軟件作為HTTP協(xié)議的設(shè)計(jì)平臺，通過對連接網(wǎng)頁時(shí)用Wireshark進(jìn)行抓取協(xié)議，再過濾得到HTTP協(xié)議。并分析HTTP協(xié)議從而了解HTTP協(xié)議的數(shù)據(jù)包。通過此次課設(shè)了解并且學(xué)會使用Wireshark軟件，學(xué)會如何利用Wireshark進(jìn)行捕獲抓包、過濾對協(xié)議進(jìn)行分析，而且進(jìn)一步掌握HTTP協(xié)議。關(guān)鍵詞 Wireshark；數(shù)據(jù)包；HTTP協(xié)

4、議1 引 言經(jīng)過計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)前面時(shí)間的學(xué)習(xí)，使我們對網(wǎng)絡(luò)應(yīng)用層的協(xié)議有了一定的了解。協(xié)議就像一門語言，需要定義語法、語意和語序(時(shí)序、同步)。語法即為協(xié)議的具體格式；語意定義了具體格式中具體指代，比如說，空一行后的數(shù)據(jù)表示為數(shù)據(jù)字段；就目前說掌握的只是而言，我對語序的理解還不是很清楚，這里就不加贅述。 下面將主要從應(yīng)用層的協(xié)議出發(fā)，利用我們所學(xué)習(xí)過的知識，對不同的應(yīng)用請求響應(yīng)過程進(jìn)行分析，探究在不同網(wǎng)絡(luò)工作環(huán)境下網(wǎng)絡(luò)協(xié)議的變化。1.1 課程設(shè)計(jì)目的 (1) 熟悉并掌握WireShark的基本操作，了解網(wǎng)絡(luò)協(xié)議實(shí)體間的交互以及報(bào)文交換。(2) 通過對WireShark抓包實(shí)例進(jìn)行分析

5、，進(jìn)一步加深對常用網(wǎng)絡(luò)協(xié)議的理 解，如DNS和HTTP協(xié)議。(3) 培養(yǎng)理論聯(lián)系實(shí)踐的科學(xué)研究精神。1.2 實(shí)驗(yàn)方法(1)利用Wireshark軟件抓取本地PC的數(shù)據(jù)包，觀察其主要使用的網(wǎng)絡(luò)協(xié)議。(2)根據(jù)所獲數(shù)據(jù)包的內(nèi)容分析相關(guān)協(xié)議，從而加深對HTTP網(wǎng)絡(luò)協(xié)議的理解。2 基本原理2.1 協(xié)議簡介HTTP是Hyper Text Transfer Protocol(超文本傳輸協(xié)議)的縮寫。它的發(fā)展是萬維網(wǎng)協(xié)會(World Wide Web Consortium)和Internet工作小組IETF(Internet Engineering Task Force)合作的結(jié)果，(他們)最終發(fā)布了一系列

6、的RFC，RFC 1945定義了HTTP/1.0版本。其中最著名的就是RFC 2616。RFC 2616定義了今天普遍使用的一個(gè)版本HTTP 1.1。 HTTP協(xié)議(HyperText Transfer Protocol，超文本傳輸協(xié)議)是用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳送協(xié)議。它可以使瀏覽器更加高效，使網(wǎng)絡(luò)傳輸減少。它不僅保證計(jì)算機(jī)正確快速地傳輸超文本文檔，還確定傳輸文檔中的哪一部分，以及哪部分內(nèi)容首先顯示(如文本先于圖形)等。HTTP是一個(gè)應(yīng)用層協(xié)議，由請求和響應(yīng)構(gòu)成，是一個(gè)標(biāo)準(zhǔn)的客戶端服務(wù)器模型。HTTP是一個(gè)無狀態(tài)的協(xié)議。HTTP協(xié)議的主要特點(diǎn)可概括如下： (1) 支持客戶

7、/服務(wù)器模式。 (2) 簡單快速：客戶向服務(wù)器請求服務(wù)時(shí)，只需傳送請求方法和路徑。請求方法常用的有GET、HEAD、POST。每種方法規(guī)定了客戶與服務(wù)器聯(lián)系的類型不同。由于HTTP協(xié)議簡單，使得HTTP服務(wù)器的程序規(guī)模小，因而通信速度很快。 (3) 靈活：HTTP允許傳輸任意類型的數(shù)據(jù)對象。正在傳輸?shù)念愋陀蒀ontent-Type加以標(biāo)記。 (4) 無連接：無連接的含義是限制每次連接只處理一個(gè)請求。服務(wù)器處理完客戶的請求，并收到客戶的應(yīng)答后，即斷開連接。采用這種方式可以節(jié)省傳輸時(shí)間。 (5) 無狀態(tài)：HTTP協(xié)議是無狀態(tài)協(xié)議。無狀態(tài)是指協(xié)議對于事務(wù)處理沒有記憶能力。缺少狀態(tài)意味著如果后續(xù)處理需

8、要前面的信息，則它必須重傳，這樣可能導(dǎo)致每次連接傳送的數(shù)據(jù)量增大。另一方面，在服務(wù)器不需要先前信息時(shí)它的應(yīng)答就較快。 HTTP報(bào)文是面向文本的，報(bào)文中的每一個(gè)字段都是一些ASCII碼串，各個(gè)字段的長度是不確定的。HTTP有兩類報(bào)文：請求報(bào)文和響應(yīng)報(bào)文。1、 請求報(bào)文圖 2.1 請求報(bào)文結(jié)構(gòu)一個(gè)HTTP請求報(bào)文由請求行(request line)、請求頭部(header)、空行和請求數(shù)據(jù)4個(gè)部分組成，下圖給出了請求報(bào)文的一般格式。 (1)請求行請求行由請求方法字段、URL字段和HTTP協(xié)議版本字段3個(gè)字段組成，它們用空格分隔。例如，GET /index.html HTTP/1.1。HTTP協(xié)議的

9、請求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT。這里介紹最常用的GET方法和POST方法。GET：當(dāng)客戶端要從服務(wù)器中讀取文檔時(shí)，使用GET方法。GET方法要求服務(wù)器將URL定位的資源放在響應(yīng)報(bào)文的數(shù)據(jù)部分，回送給客戶端。使用GET方法時(shí)，請求參數(shù)和對應(yīng)的值附加在URL后面，利用一個(gè)問號(“?”)代表URL的結(jié)尾與請求參數(shù)的開始，傳遞參數(shù)長度受限制。例如，/index.jsp?id=100&op=bind。POST：當(dāng)客戶端給服務(wù)器提供信息較多時(shí)可以使用POST方法。POST方法將請求參數(shù)封裝在HTTP請求數(shù)據(jù)中，以名稱/值的形式

10、出現(xiàn)，可以傳輸大量數(shù)據(jù)。(2)請求頭部請求頭部由關(guān)鍵字/值對組成，每行一對，關(guān)鍵字和值用英文冒號“：”分隔。請求頭部通知服務(wù)器有關(guān)于客戶端請求的信息，典型的請求頭有：User-Agent：產(chǎn)生請求的瀏覽器類型。Accept：客戶端可識別的內(nèi)容類型列表。Host：請求的主機(jī)名，允許多個(gè)域名同處一個(gè)IP地址，即虛擬主機(jī)。(3)空行最后一個(gè)請求頭之后是一個(gè)空行，發(fā)送回車符和換行符，通知服務(wù)器以下不再有請求頭。(4)請求數(shù)據(jù)請求數(shù)據(jù)不在GET方法中使用，而是在POST方法中使用。POST方法適用于需要客戶填寫表單的場合。與請求數(shù)據(jù)相關(guān)的最常使用的請求頭是Content-Type和Content-Len

11、gth。 2、 HTTP響應(yīng)報(bào)文圖 2.2 響應(yīng)報(bào)文結(jié)構(gòu)HTTP響應(yīng)也由三個(gè)部分組成，分別是：狀態(tài)行、消息報(bào)頭、響應(yīng)正文。狀態(tài)行格式如下：HTTP-Version Status-Code Reason-Phrase CRLF其中，HTTP-Version表示服務(wù)器HTTP協(xié)議的版本；Status-Code表示服務(wù)器發(fā)回的響應(yīng)狀態(tài)代碼；Reason-Phrase表示狀態(tài)代碼的文本描述。狀態(tài)代碼由三位數(shù)字組成，第一個(gè)數(shù)字定義了響應(yīng)的類別，且有五種可能取值。1xx：指示信息-表示請求已接收，繼續(xù)處理。2xx：成功-表示請求已被成功接收、理解、接受。3xx：重定向-要完成請求必須進(jìn)行更進(jìn)一步的操作。4

12、xx：客戶端錯(cuò)誤-請求有語法錯(cuò)誤或請求無法實(shí)現(xiàn)。5xx：服務(wù)器端錯(cuò)誤-服務(wù)器未能實(shí)現(xiàn)合法的請求。常見狀態(tài)代碼、狀態(tài)描述的說明如下。200 OK：客戶端請求成功。400 Bad Request：客戶端請求有語法錯(cuò)誤，不能被服務(wù)器所理解。401 Unauthorized：請求未經(jīng)授權(quán)，這個(gè)狀態(tài)代碼必須和WWW-Authenticate報(bào)頭域一起使用。403 Forbidden：服務(wù)器收到請求，但是拒絕提供服務(wù)。404 Not Found：請求資源不存在，舉個(gè)例子：輸入了錯(cuò)誤的URL。500 Internal Server Error：服務(wù)器發(fā)生不可預(yù)期的錯(cuò)誤。503 Server Unavaila

13、ble：服務(wù)器當(dāng)前不能處理客戶端的請求，一段時(shí)間后可能恢復(fù)正常。2.2 wireshark簡介Wireshark（前稱Ethereal）是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark主要應(yīng)用于網(wǎng)絡(luò)管理員用來解決網(wǎng)絡(luò)問題，網(wǎng)絡(luò)安全工程師用來檢測安全隱患，網(wǎng)絡(luò)管理員用來解決網(wǎng)絡(luò)問題，用來學(xué)習(xí)網(wǎng)絡(luò)協(xié)議。Wireshark不是入侵偵測軟件（Intrusion DetectionSoftware,IDS）。對于網(wǎng)絡(luò)上的異常流量行為，Wireshark不會產(chǎn)生警示或是任何提示。然而，仔細(xì)分析Wireshark擷取的封包能夠幫助使用者對

14、于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark不會對網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會反映出目前流通的封包資訊。網(wǎng)絡(luò)分析也被稱為流量分析、協(xié)議分析、嗅探、數(shù)據(jù)包分析或者竊聽。網(wǎng)絡(luò)分析器可以是一個(gè)配有專用軟件的獨(dú)立硬件設(shè)備，也可以是一種安裝在PC機(jī)上的軟件工具。網(wǎng)絡(luò)分析器有開源和商用兩種，不同之處在于它們所支持的協(xié)議種類、用戶接口、圖表及統(tǒng)計(jì)功能，以及數(shù)據(jù)包的解碼的質(zhì)量。而Wireshark正是一種開源的網(wǎng)絡(luò)分析器。3 設(shè)計(jì)步驟3.1 課程設(shè)計(jì)步驟(1) 啟動WireShark。圖 3.1 wireshark啟動界面(2) 啟動PC上的chrome瀏覽器。 圖3.2 啟動chrome瀏覽器(3) 開始

15、分組捕獲：選擇“抓包”下拉菜單中的“抓包參數(shù)選擇”命令，在WireShark：“抓包選項(xiàng)”窗口中可以設(shè)置分組捕獲的選項(xiàng)。圖3.3選項(xiàng)(4) 在這次實(shí)驗(yàn)中，使用窗口中顯示的默認(rèn)值。選擇“抓包”下拉菜單中的“網(wǎng)絡(luò)接口”命令，顯示計(jì)算機(jī)中所安裝的網(wǎng)絡(luò)接口(即網(wǎng)卡)。我們需要選擇電腦真實(shí)的網(wǎng)卡，點(diǎn)擊后顯示本機(jī)的IP地址。(5) 隨后，點(diǎn)擊“開始”則進(jìn)行分組捕獲，所有由選定網(wǎng)卡發(fā)送和接收的分組都將被捕獲。圖3.4 抓包選項(xiàng)設(shè)置 (6) 待捕獲一段時(shí)間，關(guān)閉瀏覽器，選擇主窗口中有的“stop”按鈕，可以停止分組的捕獲。圖3.5 結(jié)束按鈕3.2 抓包并分析過程這次實(shí)驗(yàn)通過分析打開谷歌主頁來分析http協(xié)議的

16、作用。在filter中輸入http進(jìn)行篩選。 wireshark所抓的含有http請求報(bào)文的幀：圖3.6 打開谷歌主頁抓到的HTTP包對打開谷歌網(wǎng)頁這個(gè)事務(wù)進(jìn)行分析：在瀏覽器中輸入谷歌主頁地址，敲擊回車的過程中，瀏覽器向DNS請求解析的IP地址。域名系統(tǒng)DNS解析出谷歌服務(wù)器的IP地址為99在這個(gè)過程中本機(jī)IP 5。然后瀏覽器與服務(wù)器建立TCP連接(服務(wù)器端的IP地址為99，端口是80)。然后瀏覽器發(fā)出取文件命令：GET /webhp?hl=zh-CN&sourceid=cnhp HTTP/1.1rn。服務(wù)器給出響應(yīng)把

17、文件(text/html)發(fā)送給瀏覽器，瀏覽器顯示text/html中的所有文本。瀏覽器下載網(wǎng)頁文本內(nèi)容，網(wǎng)頁文本中標(biāo)記著圖片、CSS文件和Flash等等。在這次課程設(shè)計(jì)中谷歌主頁還包括谷歌logo圖片和其他一些內(nèi)容，瀏覽器分析出這些內(nèi)容后開4個(gè)線程對這些內(nèi)容進(jìn)行下載，分別向服務(wù)器發(fā)送請求報(bào)文，服務(wù)器接收到內(nèi)容后根據(jù)HTTP協(xié)議發(fā)送響應(yīng)報(bào)文。所有的內(nèi)容下載完畢時(shí)候?yàn)g覽器會顯示全部內(nèi)容，一個(gè)完整的谷歌主頁就這樣打開了。3.3 分析HTTP報(bào)文下面是根據(jù)時(shí)間順序給抓到的包編號為1到8。圖3.6 第1個(gè)包分析：本地PC機(jī)(IP地址為5)中的瀏覽器向谷歌的服務(wù)器(IP地址為173.

18、194.72.199)請求服務(wù)時(shí)，先和校園網(wǎng)代理服務(wù)器建立TCP連接，并向代理服務(wù)器發(fā)出HTTP請求報(bào)文，請求服務(wù)器發(fā)送文本文件。代碼分析：GET /webhp?hl=zh-CN&sourceid=cnhp HTTP/1.1rn /請求目標(biāo)Host： .hk /目標(biāo)所在的主機(jī)Connection： keep-alive /激活連接Accept： text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 User-Agent： Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKi

19、t/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31 /用戶代理，瀏覽器的類型是chrome瀏覽器；括號內(nèi)是相關(guān)解釋X-Chrome-Variations：CLS1yQEIkbbJAQihtskBCKO2yQEIp7bJAQiptskBCLm2yQEI/IPKAQibhMoBAccept-Encoding： gzip,deflate,sdch /可接受編碼，文件格式Accept-Language： zh-CN,zh;q=0.8 /語言中文Accept-Charset： GBK,utf-8;q=0.7,*;q=0.3 /告訴

20、服務(wù)器，客戶端提交的表單可能使用的編碼Cookie： NID=67=FFrU7T8-DNJkzwhsGzijolp09lzBgCLKCRzVNkZRrfsoTT2-aTJFjxZ9dWgebP_mDb_DAt6tYahSqydnDLk0gW5vP47JC7Xhj-183NqQxUGUnb3dZHh71-WeAabsKurvndnGPPa3MdY; PREF=ID=1c5991ad66b47581：U=4e3bc9a43161a8a2：FF=2：LD=zh-CN：NW=1：TM=1330947425：LM=1372979082：S=zO71aH_kzkhNciIQ /允許站點(diǎn)跟蹤用戶，cooki

21、eID是1c5991ad66b47581圖3.7 第2個(gè)包分析：由狀態(tài)欄的200代碼可知，谷歌服務(wù)器(IP地址為99)成功接收到我們本地發(fā)送的請求報(bào)文，向IP地址為5的本地發(fā)送響應(yīng)報(bào)文，把文件發(fā)送給瀏覽器。根據(jù)報(bào)文內(nèi)容可以知道更多的關(guān)于文檔的信息。代碼分析：HTTP/1.1 200 OKrn /狀態(tài)行，成功Date： Fri, 05 Jul 2013 04：19：16 GMTrn /響應(yīng)信息創(chuàng)建的時(shí)間Expires： -1rn /設(shè)置內(nèi)容過期時(shí)間Cache-Control： private, max-age=0rn Content-Type： tex

22、t/html; charset=UTF-8rn /內(nèi)容類型：文本Content-Encoding： gziprn /內(nèi)容編碼Server： gwsrn /服務(wù)器X-XSS-Protection： 1; mode=blockrn /X-XSS防護(hù)X-Frame-Options： SAMEORIGINrn Transfer-Encoding： chunkedrn /分塊傳輸編碼rnHTTP chunked responseLine-based text data： text/html /對所傳文本信息(基于html)的描述圖3.8 第3個(gè)包分析：第二個(gè)包中抓到的包中的文本文檔中有標(biāo)記還要繼續(xù)下載的

23、內(nèi)容，本地服務(wù)器再次發(fā)送請求報(bào)文向谷歌服務(wù)器請求下載文件，由請求行可以看出請求的是一張png格式的圖片，應(yīng)該是谷歌主頁的logo。代碼分析：GET /textinputassistant/tia.png/1.1rn /請求目標(biāo)是一張格式為png的圖片Host： /目標(biāo)所在的主機(jī)Connection： keep-alive /激活連接Accept：*/* User-Agent： Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31 /

24、用戶代理，瀏覽器的類型是chrome瀏覽器；括號內(nèi)是相關(guān)解釋X-Chrome-Variations： CLS1yQEIkbbJAQihtskBCKO2yQEIp7bJAQiptskBCLm2yQEI/IPKAQibhMoBAccept-Encoding： gzip,deflate,sdch /可接受編碼，文件格式Accept-Language： zh-CN,zh;q=0.8 /語言中文Accept-Charset： GBK,utf-8;q=0.7,*;q=0.3 /告訴服務(wù)器，客戶端提交的表單可能使用的編碼Cookie： /允許站點(diǎn)跟蹤用戶圖3.9 第4個(gè)包分析：狀態(tài)行顯示的結(jié)果表明谷歌服務(wù)器

25、成功接收到本地發(fā)送的請求報(bào)文，相應(yīng)的的向本地發(fā)出響應(yīng)報(bào)文并把圖像文件發(fā)送給了本地。響應(yīng)報(bào)文中有關(guān)于圖片的一些信息記錄。代碼分析：HTTP/1.1 200 OKrn /狀態(tài)行，成功Content-Type： image/pngrn /內(nèi)容類型：圖像格式為pngLast-modified： mon,02 Apr 2012 02：13：37 GMTrn /上一次修改時(shí)間Date： Fri, 05 Jul 2013 04：19：16 GMTrn /響應(yīng)信息創(chuàng)建的時(shí)間Expires： Thu, 03 Ju1 2014 21：21：50rn /設(shè)置內(nèi)容過期時(shí)間 Server： sffern /服務(wù)器sffe Content-length： 387rn /內(nèi)容長度X-XSS-Protection： 1; mode=blockrn /X-XSS防護(hù)Portable network Graphics /對所傳圖片信息的描述下面一并分析第5和第六個(gè)包。圖3.10 第5個(gè)包圖3.11 第6個(gè)包分析：本地連續(xù)向谷歌服務(wù)器發(fā)送了兩個(gè)請求報(bào)文，是因?yàn)樵诘诙€(gè)包接收后在網(wǎng)頁文本文檔中標(biāo)記的圖片，音樂等多媒體文檔都有標(biāo)記在里面，瀏覽器分析出這些內(nèi)容后對這些內(nèi)容進(jìn)行并行下載。圖3.12 第7個(gè)包分析：狀態(tài)行顯示的結(jié)果表明谷歌服務(wù)器成功接收到本地發(fā)送的請求報(bào)文，204 No Content