实验指导任务书一手册.pdfVIP

实验一DNS和HTTP报文分析指导手册

指导手册仅起到是学生熟悉网络环境和软件使用的方向性参照作用，

并非实验报告模板，实验报告格式请参照实验报告格式规范手册。

1.并安装wireshark软件

登陆点击DownLoadWireshark

2．根据自己OS的分别选择相应的版本进行

3．后点击EXE程序进入傻瓜式安装步骤

4.一路点击NEXT后，完成安装。

注：安装过程中可能需要安装WINPCAP

5.进入Wireshark主界面，其中红线框标注的地方是自己编辑过滤条件的地方。

6.当点击Expression…后出现了更详细的过滤配置框。

7.点击Capture菜单下的Interface选项后进入选择网卡框

8.选择有数据包流入的网卡，点击Start则开始抓取流经该网卡的数据包。

9.当过滤条件设置为空时则抓取所有经过该网卡的数据包。

本例以DNS数据包为例开始抓取DNS数据包

1.在过滤栏中输入DNS然后点击Apply，并选择Capture菜单下的Start后，打开

浏览器。输入

2.如图显示跟本次浏览器相关的DNS数据包一共有8个。LLMNR为多播DNS数

据包，属于本地网段名称解析。

3.从图中可以看到

(1)第一个数据包为询问的IPv6地址DNS询问报文。

(2)第二个报文为应答该报文的应答DNS数据包。

(3)第三个报文询问clients1..com的IPv6地址的DNS询问报文

(4)第四个报文为应答第三个报文的应答DNS数据包

(5)第五个报文为询问clients1..com的IPv4地址的询问报文

(6)第六个报文为询问的IPv4地址的询问报文

(7)第七个报文为应答第五个报文的DNS应答报文

(8)第八个报文为应答第六个报文的DNS应答报文。

4.现在具体分析第一个报文为例

可以在分析窗口中看到各层的报头，最外面的是这帧报文的整个信息，接着是以

太网报头，然后是IP层报头，然后是传输层报头（本例以UDP方式传输），然后

是DNS数据包。

5.具体分析DNS报文如下

6.可根据DNS数据报文的格式进行分析该报文的内容

标识符会被到对查询的回答报文中，以便让客户机用它来匹配发送的请求和接收到

的回答。

标志字段格式为：

QR(1比特）：查询/响应的标志位，1为响应，0为查询。这里QR为0表示是一个

查询报文。

opcode（4比特）：定义查询或响应的类型（若为0则表示是标准的，若为1则是反

向的，若为2则是服务器状态请求）。

AA（1比特）：回答的标志位。该位在响应报文中有效，1表示名字服务器是权限

服务器。

TC（1比特）：截断标志位。1表示响应已超过512字节并已被截断。

RD（1比特）：该位为1表示客户端希望得到递归回答。

RA（1比特）：只能在响应报文中置为1，表示可以得到递归响应。

zero（3比特）：保留字段，为0。

rcode（4比特）：返回码，表示响应的差错状态。

问题区域包含着正在进行的查询信息。该区域包括：名字字段，用于正在被查询主

机名字；类型字段，用于正被询问的问题类型。

回答区域只在来自DNS服务器的回答报文中，包含了对最初请求的名字的资源记录。每

个资源记录中有Type字段，Value字段和TTL字图案。在一个回答报文中的回答区域中可

以包含多条RR，因为一个主机名可以对应多个IP段。

区域包含了其他DNS服务器的记录。

附加区域包含了其他一些有帮助的记录。

7