分组嗅探和WireShark

文末附PDF

HTTP/HTTPS

学校官网捕获

1.访问北京林业大学网站www.bjfu.edu.cn ，根据捕获到的分组回答下列问题

抓包北京林业大学网站。打开cmd控制台，输入ping www.bjfu.edu.cn ，获取返回的IP地址。获得学校官网的Ipv6的地址。2001:da8:211:d112:1602:ecff:fe04:ac50。
在wireshark中选择“捕获-选项”选中wlan网卡，在过滤图标选择捕获ipv6地址，输入地址。在浏览器访问站点并开始捕获：

HTTP协议的版本号是多少？找到对应的分组数据加以说明：在过滤栏中输入HTTP，打开捕获的分组，对照HTTP报文格式，在分组中即可查询到HTTP版本号为HTTP/1.1,如红色下划线所示。

2.HTTP协议采用的是持久连接还是非持久连接，如果是持久连接，是流线型还是非流水线型，请依据分组数据说明；查看Connection字段，可看到HTTP报文采用keep-alive链接，即持久性链接。由下图分析，HTTP客户每碰到一个引用就立即发出一个请求，链接不会关闭，因而HTTP客户可以一个接一个紧挨着发出各个引用对象的请求，服务器收到这些请求后，也可以一个接一个紧挨着发出各个对象。所以使用的是流水线机制。

3.找出访问www.bjfu.edu.cn的第一个TCP连接的三次握手报文，你是如何判断这是此次访问的第一个TCP连接的三次握手报文；请问在三次握手中有捎带数据事件发生吗？
为方便起见，访问ipv4地址：202.204.112.10 由于采用持久连接，在连接建立后，这个tcp连接会一直保持连接状态。因此在第一个HTTP报文之前的三次握手过程为访问www.bjfu.edu.cn的第一个TCP连接的三次握手报文，它们是连续的。
重新捕获，报文如下，如图可获得三次握手的报文：

第一次握手：

客户端向服务器发送连接请求包，标志位SYN为1，SEQ=0。

第二次握手：

第三次握手：

TCP协议建立连接的三次握手过程中的第三次握手允许携带数据，但是由于Len=0，本次握手中均没有捎带数据发生。

4.找出此次访问的四次挥手报文，说明是谁先发起的挥手过程？四次挥手如图。由服务器先发起的挥手过程。
第一次，Fin+Ack:
第二次挥手，Ack:
第三次，Fin+Ack：
第四次，ACK：

5.任选一个TCP报文段，说明它是对哪个TCP报文段的确认，为什么？
在下面的报文段中，可以看出是对第31帧的确认，由报文分析字段可知：

6.选一个由你的主机发送给服务器的TCP报文，分析其链路层、网络层、传输层的源地址和目的端地址分别是哪台机器的地址？
如图蓝色的报文：
链路层：源地址是chongqin_47:93:85(重庆路由),目的地址是ChinaMob_9f:ba:58(中国移动路由)
网络层，源地址：自己的主机地址；目的地址：站点服务器
传输层，源地址：主机端口52582，服务器端口：80

7.在此次访问中，除了HTTP协议消息和TCP报文端，还有其它协议消息产生吗？如有，给出具体的例子，并解释为什么会有这些协议消息产生。
答：没有其他协议产生。但可能出现TLS等协议，用于网络安全。

8.比较http请求报文和响应报文。
请求报文：
由请求行、首部行、空行和实体体组成。
A响应报文：

9.利用统计工具中的流量图，绘制分组流量图

Bing 捕获

访问`https://cn.bing.com/` ，根据捕获到的分组回答https访问和http访问两者之间的区别是什么？

Ping操作获取https://cn.bing.com/的ip地址：202.89.233.100 相较于HTTP协议，HTTPS协议的报文出现了很多TLS协议，原因在于HTTP 是明文传输，数据都是未加密的，安全性较差，HTTPS协议数据传输过程是加密的，也就是HTTP＋TLS，安全性较好。HTTPS 其实就是建构在 SSL/TLS 之上的 HTTP 协议。另外，端口号也不一样，HTTPS标准端口443，HTTP标准端口为80。