wireshark——Http报文分析

通过使用wireshark对本地网卡的过滤，获得了一个http包。通过对这个包的分析，以了解数据包及分析方法。

界面中共分为三个区域：

第一个区域

用来显示简单的数据包信息，我们用tcpdump抓包的时候，默认情况下也是显示成这样的；

第二个区域

用来显示选中的数据包的详细信息，细心一点会发现他是按照TCP/IP四层结构显示的，第一行是所抓帧的序号，第二行是数据链路层的信息，第三行是网络层信息（IP协议），第四行是传输层信息（TCP协议），第五行是应用层信息（HTTP协议）也称超文本传输协议，可以展开每一行用来观察具体的内容；

第三个区域

用来显示此数据包的真实面目。

分析http报文

请求行

GET：

GET / HTTP/1.1\r\n

方法字段  /URL字段/http协议的版本          
报文里有对请求行字段的相关解释。该报文请求的是一个对象，该对象是空。

首部行：

以一个其他同学的帖子解释内容。可以根据以下注解来对比上面的内容

Accept: */*Referer: http://www.people.com.cn/             这是网站网址Accept-Language: zh-cn                        语言中文Accept-Encoding: gzip, deflate                  可接受编码，文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释Host: www.people.com.cn  目标所在的主机Connection: Keep-Alive      激活连接

当然，在HTTP 中还有一些其他字段

Accept: */*Referer: http://bbs.foodmate.net/thread-345413-1-1.html    这是html文件网址Accept-Language: zh-cn                                   语言中文Accept-Encoding: gzip, deflate                             可接受编码，文件格式If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT           内容是否被修改：最后一次修改时间       If-None-Match: "9a4041-197-2f11e280"                   关于资源的任何属性              （ ETags值）     在ETags的值中可以体现，是否改变User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)   用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释Host: bbs.foodmate.net        目标所在的主机Connection: Keep-Alive        激活连接Cookie: cdb_sid=0Ocz4H; cdb_oldtopics=D345413D; cdb_visitedfid=17; __gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY24VDbjc1A                     cookie，允许站点跟踪用户，coolie ID是7ab350574834b14b

对上述的HTTP连接，分析http的响应报文，针对上面请求报文的响应报文如下：

报文分析：
状态行：
HTTP/1.0 200 OK         

首部行：

Content-Length: 159        内容长度Accept-Ranges: bytes       接受范围Server: nginx                服务器X-Cache: MISS from www2.people.com.cn  经过了缓存服务器Via:1.0www2.people.com.cn:80(squid/2.6.STABLE14-20070808)                          路由响应信息Date: Fri, 22 Oct 2010 12:09:42 GMT 响应信息创建的时间Content-Type: image/gif             内容类型 图像Expires: Fri, 22 Oct 2010 12:10:19 GMT  设置内容过期时间Last-Modified: Fri, 11 Jun 2010 00:50:48 GMT  内容最后一次修改时间Powered-By-ChinaCache:PENDING from CNC-BJ-D-3BA ChinaCache的是一家领先的内容分发网络（CDN）在中国的服务提供商。Age: 34             缓存有效34天Powered-By-ChinaCache: HIT from USA-SJ-1-3D3ChinaCache是一家领先的内容分发网络（CDN）在中国的服务提供商。Connection: keep-alive     保持TCP连接图中最后一行compuserve GIF 是对所传图像的信息的描述GIF是compuserve公司开发的图像格式标准。