转自:https://blog.csdn.net/qq_29277155/article/details/52125346
0x00 前言
Wireshark(前称Ethereal)中文版是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。其中我们着重分析了常见的HTTP流量,研究HTTP流量的情况,进而确定服务器和本机主机的流量等情况。
0x01 HTTP捕获原理
1 HTTP流量的捕获过程
流量从 Network--->>>Capture Filters--->>>Winpcap –Airpcap -Libpcap--->>>Capture--->>>Engine--->>>wireshark .如下图:
2 流量包的处理过程
3 HTTP基本知识
HTTP Keep-Alives 在HTTP /1.1 是可选的,
0x02 HTTP捕获
1 捕获过滤器
tcp port http #当我们使用默认的80端口进行HTTP通讯的时候
tcp port 8080 #当我们不使用默认的80端口进行HTTP通讯的时候,指定捕获过滤器去捕获特定的端口
2 显示过滤器
http #TCP SYN, ACKs, RST or FIN 包将不会被现实
tcp.port==80 #也可以指定其他端口
http.request.method == "GET“
http.request.method == “POST"
更具体的设置方式如下,可以设置更多参数:
3 HTTP流量包结构
GET方式、POST方式的流量包结构
0x03 分析HTTP
1 基本HTTP知识
常见的方式:GET、POST
常见的响应特征:1xx Informational、2xxSuccessful、3xxRedirection、4xxClient error、5xxServer error
更具体响应码:http://www.iana.org/assignments/http-status-codes
2 HTTP 连接
3 HTTP 分组计数器
4 HTTP负载分配
5 HTTP请求统计
0x04 单个HTTP包
1TCP流
在流量列表简要信息中,右击某个流量包---->>>【追踪流】--->>>【TCP流】
2 RTT往返时间
主界面--【统计】--【TCP流图形】--【往返时间】
其中【往返时间】可以更改成其他的项目,如【吞吐量】、【时间序列steven】、【时间序列tcptrace】、【窗口大小】
3 导出HTTP
主界面--【文件】--【导出】--【对象】--【HTTP】
0x05 综合分析
1 结合各种图表,进而统计和分析各种HTTP流量的情况,可以判断客户端、服务器、中间网络传输等情况,从而确定是哪个环节出现问题
2 结合各种图表,进而统计和分析各种HTTP流量的情况,可以判断服务器的性能和状态、网络延时的性能问题