wireshark教程 Wireshark实战教程来袭，手把手教你分析HTTP协议

很多学生和小编辑反映，网上关于Wireshark的教材很多，但是有操作环境和配套教材的教材很少。边肖发动了智慧与天堂结合的力量，为每个人找到了答案，给朋友们带来了一系列关于Wireshark的实用教材，并通过分析TCP/IP协议家族加强了使用工具的熟练程度。偷偷告诉你，文末有配套实验。

开始之前先简单介绍一下HTTP，包括特性、请求方式、工作流程、链接方式等。

0x01 HTTP简介

1.什么是超文本传输协议

HTTP是Web系统的核心内容，是Web服务器和客户端直接数据传输的规则。Web服务器是一个网站，它是信息内容的发布者。最常见的客户端是浏览器，它是信息内容的接收者。

超文本传输协议是一种将超文本从万维网服务器传输到本地浏览器的传输协议。可以使浏览器更高效，减少网络传输。它不仅保证了计算机正确、快速地传输超文本文档，而且确定了传输文档的哪一部分和内容的哪一部分先显示。HTTP是应用层协议，由sum和response组成。这是一个标准的客户机-服务器模型。HTTP具有以下特征:

1.支持客户端/服务器模式、基本认证和安全认证

2.简单快速；当客户端向服务器请求服务时，只需要传输请求方法和路径。常用的请求方法有GET、HEAD和POST。每种方法都指定了客户和服务器之间不同类型的联系。因为HTTP协议简单，HTTP服务器的程序规模小，所以通信速度很快。

3.灵活性:HTTP允许传输任何类型的数据对象。正在传输的类型由内容类型标记。

4.HTTP 0.9和1.0使用非持久连接:每个连接仅限处理一个请求，服务器在处理完客户请求并收到客户回复后断开连接。这样可以节省传输时间。HTTP 1.1使用持久连接:一个连接可以传输多个对象，而不是为每个web对象创建一个新的连接。

5.无状态:HTTP协议是无状态的。无状态意味着协议没有用于事务处理的内存。缺少状态意味着如果后续处理需要之前的信息，则必须重新传输，这可能会导致每个连接传输的数据量增加。

2HTTP请求方式

在HTTP/1.1协议中定义了八个动作，以显示Request-URI指定的资源的不同操作模式。

1.OPTIONS:返回服务器对特定资源支持的HTTP请求方法，或者向Web服务器发送一个“*”请求，测试服务器的功能。

2.HEAD:向服务器请求与GET请求一致的响应，除了响应体不会被返回。这种方法可以在不传输整个响应内容的情况下获得包含在响应消息报头中的元信息。

3.获取:向特定资源发送请求。注意:get方法不应用于产生“副作用”的操作。比如Web APP，其中一个原因就是GET可能会被网站蜘蛛随机访问。

4.POST:将数据提交给指定的资源进行处理。数据包含在请求正文中。开机自检请求可能会导致创建新资源或修改现有资源。

5.上传:上传最新的内容到指定的资源位置。

6.删除:请求服务器删除由请求-URI标识的资源。

7.TRACE:回显服务器收到的请求，主要用于测试或诊断。

8.连接:HTTP/1.1协议是为可以将连接更改为管道模式的代理服务器保留的。

大多数情况下，只使用GET和HEAD方法，这些方法区分大小写。当请求所针对的资源不支持相应的请求方法时，服务器应返回状态码405，当服务器不识别或不支持相应的请求方法时，应返回状态行501。

3.HTTP工作流

HTTP是无状态协议。无状态意味着不需要在客户端和服务器之间建立持久的链接。这意味着当客户端向服务器发送请求，然后Web服务器返回响应“*”时，连接被关闭，关于连接的信息不保存在服务器上。HTTP遵循请求/响应模型。客户端向网络服务器发送请求，网络服务器处理该请求并返回适当的响应。所有的HTTP连接都是由一组请求和响应构成的。该过程分为四个阶段，包括建立连接、发送请求信息、发送响应信息和关闭连接，如下图所示:

田鹤智会

网站:www.heetian.com

电话:4006-123-731