《计算机网络》实验指导书

图3-2 Wireshark初始用户界面

图3-3 Wireshark的用户界面

此时Wireshark的用户界面主要有5部分组成，如图3-3所示。

? 命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。最常用菜单命令有两个：File、Capture。File菜单允许你保存俘获的分组数据或打开一个已被保存的俘获分组数据文件或退出Wireshark程序。Capture菜单允许你开始俘获分组。

? 俘获分组列表（listing of captured packets）：按行显示已被俘获的分组内容，其中包括：Wireshark赋予的分组序号、俘获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。单击某一列的列名，可以使分组按指定列进行排序。在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。

? 分组头部明细（details of selected packet header）：显示俘获分组列表窗口中被选中分组的头部详细信息。包括：与以太网帧有关的信息，与包含在该分组中的IP数据

29

《计算机网络》实验指导书

报有关的信息。单击以太网帧或IP数据报所在行左边的向右或向下的箭头可以展开或最小化相关信息。另外，如果利用TCP或UDP承载分组，Wireshark也会显示TCP或UDP协议头部信息。最后，分组最高层协议的头部字段也会显示在此窗口中。 ? 分组内容窗口（packet content）：以ASCII码和十六进制两种格式显示被俘获帧的完整内容。

? 显示筛选规则（display filter specification）：在该字段中，可以填写协议的名称或其他信息，根据此内容可以对分组列表窗口中的分组进行过滤。 （一）Wireshark的使用 ? 启动主机上的web浏览器。

? 启动Wireshark。你会看到如图3-2所示的窗口，只是窗口中没有任何分组列表。 ? 开始分组俘获：选择“capture”下拉菜单中的“Capture Options”命令，会出现如图3-3所示的“Wireshark: Capture Options”窗口，可以设置分组俘获的选项。

? 在实验中，可以使用窗口中显示的默认值。在“Wireshark: Capture Options”窗口（如图3-4所示）的最上面有一个“Interface List”下拉菜单，其中显示计算机所具有的网络接口（即网卡）。当计算机具有多个活动网卡时，需要选择其中一个用来发送或接收分组的网络接口（如某个有线接口）。随后，单击“Start”开始进行分组俘获，所有由选定网卡发送和接收的分组都将被俘获。

图3-4 Wireshark的Capture Option

? 开始分组俘获后，会出现如图3-5所示的窗口。该窗口统计显示各类已俘获数据包。在该窗口的工具栏中有一个“stop”按钮，可以停止分组的俘获。但此时你最好不要停止俘获分组。

? 在运行分组俘获的同时，在浏览器地址栏中输入某网页的URL，如：http://www.hit.edu.cn。为显示该网页，浏览器需要连接www.hit.edu.cn的服务器，并与之交换HTTP消息，以下载该网页。包含这些HTTP报文的以太网帧将被Wireshark俘获。

30

《计算机网络》实验指导书

? 当完整的页面下载完成后，单击Wireshark菜单栏中的stop按钮，停止分组俘获。Wireshark主窗口显示已俘获的你的计算机与其他网络实体交换的所有协议报文，其中一部分就是与www.hit.edu.cn服务器交换的HTTP报文。此时主窗口与图3-3相似。 ? 在显示筛选规则中输入“http”，单击“回车”，分组列表窗口将只显示HTTP协议报文。 ? 选择分组列表窗口中的第一条http报文。它应该是你的计算机发向www.hit.edu.cn服务器的HTTP GET报文。当你选择该报文后，以太网帧、IP数据报、TCP报文段、以及HTTP报文首部信息都将显示在分组首部子窗口中。单击分组首部详细信息子窗口中向右和向下箭头，可以最小化帧、以太网、IP、TCP信息显示量，可以最大化HTTP协议相关信息的显示量。

图3-5 Wireshark的抓包界面

（二）HTTP分析

1）HTTP GET/response交互

? 启动Web browser，然后启动Wireshark分组嗅探器。在窗口的显示过滤说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。 ? 开始Wireshark分组俘获。

? 在打开的Web browser窗口中输入一下地址：http://hitgs.hit.edu.cn/news ? 停止分组俘获。

根据俘获窗口内容，思考以下问题：

? 你的浏览器运行的是HTTP1.0，还是HTTP1.1？你所访问的服务器所运行HTTP协议的版本号是多少？ HTTP1.1 ，Version 4.

31

《计算机网络》实验指导书

? 你的浏览器向服务器指出它能接收何种语言版本的对象？ Accept-Language: zh-CN,zh;q=0.8

? 你的计算机的IP地址是多少？服务器http://hitgs.hit.edu.cn/news的IP地址是多少？ 192.168.199.189 219.217.226.18

? 从服务器向你的浏览器返回的状态代码是多少？ 200 OK

2）HTTP 条件GET/response交互

? 启动浏览器，清空浏览器的缓存（在浏览器中，选择“工具”菜单中的“Internet选项”命令，在出现的对话框中，选择“删除文件”）。 ? 启动Wireshark分组俘获器。开始Wireshark分组俘获。

? 在浏览器的地址栏中输入以下URL: http://hitgs.hit.edu.cn/news,在你的浏览器中重新输入相同的URL或单击浏览器中的“刷新”按钮。

? 停止Wireshark分组俘获，在显示过滤筛选说明处输入“http”,分组列表子窗口中将只显示所俘获到的HTTP报文。 根据俘获窗口内容，思考以下问题：

? 分析你的浏览器向服务器发出的第一个HTTP GET请求的内容，在该请求报文中，是否有一行是：IF-MODIFIED-SINCE？没有

? 分析服务器响应报文的内容，服务器是否明确返回了文件的内容？如何获知？ 200 OK （text/html）。

? 分析你的浏览器向服务器发出的较晚的“HTTP GET”请求，在该请求报文中是否有一行是：IF-MODIFIED-SINCE？如果有，在该首部行后面跟着的信息是什么？ 没有。

32