Wireshark入门与进阶系列九之HTTP流量分析_流量包结构

0x00 前言

    Wireshark（前称Ethereal）中文版是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。其中我们着重分析了常见的HTTP流量，研究HTTP流量的情况，进而确定服务器和本机主机的流量等情况。

0x01 HTTP捕获原理

1 HTTP流量的捕获过程

流量从 Network--->>>Capture Filters--->>>Winpcap –Airpcap -Libpcap--->>>Capture--->>>Engine--->>>wireshark .如下图：

2 流量包的处理过程

3 HTTP基本知识

HTTP Keep-Alives 在HTTP /1.1 是可选的，

0x02 HTTP捕获

1 捕获过滤器

tcp port http             #当我们使用默认的80端口进行HTTP通讯的时候

tcp port 8080           #当我们不使用默认的80端口进行HTTP通讯的时候，指定捕获过滤器去捕获特定的端口

2 显示过滤器

http      #TCP SYN, ACKs, RST or FIN 包将不会被现实

tcp.port==80        #也可以指定其他端口

http.request.method == "GET“

http.request.method == “POST"

更具体的设置方式如下，可以设置更多参数：

3 HTTP流量包结构

GET方式、POST方式的流量包结构

0x03 分析HTTP

1 基本HTTP知识

常见的方式：GET、POST
常见的响应特征：1xx Informational、2xxSuccessful、3xxRedirection、4xxClient error、5xxServer error

更具体响应码：http://www.iana.org/assignments/http-status-codes

2 HTTP 连接

3 HTTP 分组计数器

4 HTTP负载分配

5 HTTP请求统计

0x04 单个HTTP包

1TCP流

在流量列表简要信息中，右击某个流量包---->>>【追踪流】--->>>【TCP流】

2 RTT往返时间

主界面--【统计】--【TCP流图形】--【往返时间】

其中【往返时间】可以更改成其他的项目，如【吞吐量】、【时间序列steven】、【时间序列tcptrace】、【窗口大小】

3 导出HTTP

主界面--【文件】--【导出】--【对象】--【HTTP】

0x05 综合分析

    1 结合各种图表，进而统计和分析各种HTTP流量的情况，可以判断客户端、服务器、中间网络传输等情况，从而确定是哪个环节出现问题

    2 结合各种图表，进而统计和分析各种HTTP流量的情况，可以判断服务器的性能和状态、网络延时的性能问题

欢迎大家分享更好的思路，热切期待^^_^^ !