计算机网络实验一——应用协议与数据包分析
一、实验题目
通过本实验,熟练掌握Wireshark 的操作和使用,学习对HTTP 协议进行分析。
二、实验内容
学习HTTP协议,了解HTTP的工作原理和HTTP报文格式。运行Wireshark,截获
在浏览器访问web界面的报文,并根据截获的报文分析其格式与内容,进一步学习HTTP 协议工作过程。
三、实验原理
HTTP 是超文本传输协议 (Hyper Text Transfer Protocol)的缩写,用于WWW 服务。
1.HTTP 的工作原理
HTTP 是一个面向事务的客户服务器协议是无状态的。也就是说,每个事务都是独立地进行处理。当一个事务开始时,就在web 客户和服务器之间建立一个TCP 连接,而当事务结束时就释放这个连接。此外,客户可以使用多个端口和和服务器 (80 端口)之间建立多个连接。其工作过程包括以下几个阶段:
① 服务器监听TCP 端口 80,以便发现是否有浏览器 (客户进程)向它发出连接请求;
② 一旦监听到连接请求,立即建立连接。
③ 浏览器向服务器发出浏览某个页面的请求,服务器接着返回所请求的页面作为响应。
④ 释放TCP 连接。
当用户在浏览器的地址栏输入要访问的HTTP 服务器地址时,浏览器和被访问HTTP 服
务器的工作过程如下:
① 浏览器分析待访问页面的URL 并向本地DNS 服务器请求IP 地解析;
② DNS 服务器解析出该HTTP 服务器的IP 地址并将IP 地址返回给浏览器;
③ 浏览器与HTTP 服务器建立TCP 连接,若连接成功,则进入下一步;
④ 浏览器向HTTP 服务器发出请求报文 (含GET 信息),请求访问服务器的指定页面;
⑤ 服务器作出响应,将浏览器要访问的页面发送给浏览器,在页面传输过程中,浏览
器会打开多个端口,与服务器建立多个连接;
⑥ 释放TCP 连接;
⑦ 浏览器收到页面并显示给用户。
2.HTTP 报文格式
HTTP 有两类报文:从客户到服务器的请求报文和从服务器到客户的响应报文。下图
显示了两种报文的结构。
**开始行,用于区分是请求报文还是响应报文。在请求报文中的开始行叫做请求行,响应报文中的开始行叫做状态行。**在开始行的三个字段之间都以空格分隔开,最后的“CR”和“LF”分别代表“回车”和“换行”。
**首部行,用来说明浏览器、服务器或报文主体的一些信息。首部可以有好几行,但也可以不使用。**在每一个首部行中都有首部字段名和它的值,每一行结束的地方都要有“回车”和“换行”。整个首部行结束时,还有一空行将首部行和后面的实体主体分开。
实体主体,在请求报文中一般都不用这个字段,而在响应报文中也可能没有这个字段。
请求报文的第一行请求行只有三个内容,即方法,请求资源的URL,以及HTTP的版本。所谓“方法”就是对所请求的对象进行的操作,这些方法实际上也是一些命令。
响应报文的第一行就是状态行。状态行包括三项:HTTP版本,状态码,以及解释状态码的简单短语。
四、实验步骤
1.截获报文步骤
步骤 1:在 PC 机上运行 Wireshark,开始截获报文;
步骤 2:从浏览器上访问 Web 界面,如 http://www. http://csee.hnu.edu.cn。打开网页,待浏览器的状态栏出现“完毕”信息后关闭网页。
步骤 3:停止截获报文,将截获的报文命名为 http-学号保存。
2.TCP连接分析
主要是三次握手过程:
第一次握手:建立连接时,客户端54020发送SYN包到服务器80,并进入SYN_SEND状态,等待服务器80确认SYN表示同步序号,用来建立连接;
第二次握手:SYN标志位和ACK标志位搭配使用(当连接请求的时候,Seq=0;连接被响应的时候,Seq=0,ACK=1)时是第二次握手。服务器80收到SYN包,必须确认客户54020的SYN,同时自己也发送一个SYN包(即SYN+ACK包),此时服务器80进入SYN_RECV状态;
(注:确认号ACK的数值等于发送方发送序号 +1(即接收方期望的下一个序列号)。
第三次握手:客户端54230收到服务器80的SYN+ACK包,向服务器80发送确认包ACK发送完毕后客户端54230和服务器80进入ESTABLISHED状态,完成三次握手;
还可以看到其中还有一个54231的连接请求,这里判断是为了进行并行连接加快速度。
3.HTTP简单分析
下面抓取湖南大学个人门户的HTTP数据包分析:
其中一条详细信息:
可以看到HTTP的报文含有OSI五层模型的所有信息。
-
请求报文结构:
-
响应报文结构:
补充:关于状态码共有41 种,常用的有:200(一切正常),301(网站已转移),400(服务器无法理解请求报文),404(服务器没有锁请求的对象)等。
4.思考题
下面以http://www.163.com/ 为例,分析截获的报文,回答以下几个问题:
1)综合分析截获的报文,查看有几种 HTTP 报文?
抓包内容如上图所示,共有两种HTTP报文,分别是请求报文与响应报文;
上图中的请求报文的方法为GET、版本号为HTTP/1.1;
响应报文状态为200,版本号为HTTP/1.1且描述为OK
这里我在最开始抓包的时候使用的是http://www.163.com的网址,访问时返回的响应报文为301,已经永久移动,而响应报文中还会有一个新的首部行Location,表示资源现在所处的位置;
可以发现新的位置URL为https://www.163.com/,不再是HTTP而是HTTPS,主要是为了安全性;其实不仅仅是www.163.com,主流的一些网页包括百度首页www.baidu.com都是这样。
2)在截获的 HTTP 报文中,任选一个 HTTP 请求报文和对应的 HTTP 应答报文,仔细 分析它们的格式
HTTP 请求报文格式:
HTTP响应报文格式:
3)分析在截获的报文中,客户机与服务器建立了几个连接?服务器和客户机分别使用了哪几个端口号?
很显然,建立了两个连接,客户机的两个端口号分别是51370、51371,其中两个端口口的TCP分别发出了一个GET请求,接受响应报文之后进行连接断开。
而服务器的访问端口为默认80。
4)综合分析截获的报文,理解 HTTP 协议的工作过程
下面以51370端口建立的TCP连接为例:
5.实验遇到的问题
1.Wireshark找不到接口
原因:
未安装WinPcap,这个在安装Wireshark时会提示进行安装,但我没有注意;
解决方法:
在www.winpcap.org进行下载安装即可;
然后在命令提示符中输入net start npf打开驱动。
2.Wireshark会截获非常多无用报文
原因:
我们的主机一直在静默运行很多应用程序,这些程序有些会进行网络数据的访问等,所以会有很多报文,难以观察
解决方法:
使用Wireshark的过滤器,我直接使用了tcp port http来进行过滤,效果很好。
五、 实验心得与不足
本次实验从实践中体会到了TCP连接的三次握手与四次挥手过程以及HTTP报文的两种格式,对书上的理论知识进行了巩固强化。
尤其在实验的过程中学习到了HTTP与HTTPS协议的不同,在http://www.163.com网站访问的报文中发现学习了一些网站从HTTP到HTTPS的过渡,通过在HTTP响应报文中添加首部行Location记录新的HTTPS网址可以实现跳转。本次实验受益匪浅。
1970
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
