TCPIP实验指导书v2012

让我们举个例子：

\

只有当目的TCP端口为80或者来源于端口1025（但又不能同时满足这两点）时，这样的封包才会被显示。 例子：

snmp || dns || icmp 显示SNMP或DNS或ICMP封包。 ip.addr == 10.1.1.1 显示来源或目的IP地址为10.1.1.1的封包。 ip.src != 10.1.2.3 or ip.dst != 10.4.5.6 显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。 换句话说，显示的封包将会为：

来源IP：除了10.1.2.3以外任意；目的IP：任意 以及

来源IP：任意；目的IP：除了10.4.5.6以外任意 ip.src != 10.1.2.3 and ip.dst != 10.4.5.6 显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。 换句话说，显示的封包将会为：

来源IP：除了10.1.2.3以外任意；同时须满足，目的IP：除了10.4.5.6以外任意 tcp.port == 25 显示来源或目的TCP端口号为25的封包。 tcp.dstport == 25 显示目的TCP端口号为25的封包。 tcp.flags 显示包含TCP标志的封包。

tcp.flags.syn == 0x02 显示包含TCP SYN标志的封包。

如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误。

表达式正确 表达式错误

您可以在Wireshark官方网站或Wiki Wireshark website上找到关于显示过滤器的补充信息。

实验二 HTTP协议分析

一、实验目的

1、分析HTTP报头结构 ；

2、理解HTTP请求报文和响应报文的首部含义。 二、实验内容

（1）在学生机上启动Wireshark软件进行报文截获，然后在IE浏览器上输入 www.hebau.edu.cn，分析截获的HTTP报文、TCP报文，分析HTTP协议请求报文格式：分析（1）中选择的HTTP请求报文（即get报文）中各字段的实际值并填写表2-1。 表2-1 HTTP请求报文格式

首部名

首部值 含义