47演示：理解HTTP协议探究.ppt

第4章 详解并取证网络协议的工作原理 任务4.4 在本节将描述OSI模型中应用层的相关协议，处于该层的协议有很多，比如HTTP、FTP、POP3、SMTP等，由于篇幅有限，不可能将应用层的全部协议完全描述，所以在这里将重点描述几种常见的应用层协议，在这些协议中又将以HTTP和FTP作为重点描述。事实上，CCNA（200-120）考试很少对HTTP或者FTP作深入考查，但是在CCNP、CCIE的一些高级应用中，特别是NARB（基于应用层的识别）或者防火过滤，可能需要很成功地理解HTTP和FTP的工作原理后，才能灵活应用，这些基础应该在CCNA（200-120）中完成。所以大家千万不要忽略这一点，关于这些基础对应后期深入学习的哪些知识点，将会给大家列举出来。 任务4.4.1 4.4.1 理解HTTP协议 当用户利用IE浏览器访问某个网站的主页时，就使用了HTTP（HyperText Transfer Protocol，超文本传输协议）。HTTP是一个基于客户端与服务器端请求和应答的标准（TCP）协议，客户端是终端用户，服务器端是网站。通过使用Web浏览器，如Internet Explorer，客户端发起一个到服务器上指定端口（默认为80号端口）的HTTP请求，应答的服务器上存储着一些资源，包括HTML文件和图像，现在很多的网络应用都使用HTTP协议，它已经不是单纯的超文本传输协议了。 注意：在如今的Internet应用中，通常已经不将HTTP理解为一种单纯的协议，而是把它当作一种数据的封装方式，使用它可以封装和传递任意文件。 任务4.4.1 可能对于一般的Internet使用者而言，没有必要对HTTP作深入的研究与分析。但对于一个网络管理者或者网络的专业人员而言，就必须深入理解HTTP的工作过程与协议结构。这关系着在管理过程中的一系列应用与安全措施，比如企业用户在打开页面时需要过滤掉某些图片文件、不允许下载MP3等，而这一系列动作都要求网络管理员对HTTP本身的结构非常熟悉。所以，本小节从HTTP的工作原理出发，深入分析HTTP的数据帧，以方便大家对HTTP的深入认识，提高基于HTTP的管理效率。HTTP有1.0和1.1两个版本。比如：微软的Internet Explorer一般使用1.1版本，但是在很多时候与代理服务器结合使用时，一般用的是1.0版本，因为代理服务器可能不知道一下节点是使用HTTP 1.0还是1.1版本。HTTP的工作原理示意图如图4.60所示。 任务4.4.1 图4.60　HTTP的工作原理示意图 关于HTTP的无状态连接 HTTP 1.0版本是无状态连接，而1.1版本支持状态连接。所谓无状态连接，就是指在HTTP 1.0版本中，一个HTTP请求与一个HTTP回应就称为一个完整的HTTP连接，基于这个连接的数据一旦发送完成后，这个连接就断开了，同时也会断开TCP三次握手过程，如果要重新连接，则需要重新进行TCP三次握手，所以说HTTP 1.0本身是一个无状态连接的协议，这种无状态连接方式没有效率。 HTTP 1.1版本增加了Keepalive消息，使其具有状态连接的特性。Keepalive的特性是提高HTTP连接的利用率，它不会切断TCP三次握手，可以开始新的连接。因为在很多情况下，一个网页都有多个HTTP连接。 任务4.4.1 关于HTTP请求报文与应答报文的结构 HTTP请求报文的结构如图4.61所示。关于实时通信中HTTP请求报文的数据帧如图4.62所示，可将理论上的报文结构与真实的数据帧进行对照理解。 HTTP版本号 HTTP方法 URL 请求头 实体头 图4.61 HTTP请求报文的结构 任务4.4.1 HTTP版本号：声明HTTP的版本号为1.1或1.0。通常微软的使用1.1，其他代理服务器使用1.0。 HTTP方法：最常用的有GET、HEAD和POST。GET请求Web页面的信息；HEAD申请Web页面的信息，不返回信息体。如果是请求表单、新闻组、BBS、邮件组群和数据库“字段索引”，就用POST代替GET，表示请求的是一个较大的数据。 URL：被请求页面的网址，如/index。事实上它是由协议名称+宿主名+目录与文件名所组成的，在一些安全加固的要求下，将采取正规化的表达方式，比如在URL中不允许使用root.exe这样的文件，因为它可能是某种病毒。 请求头：被请求的文件类型，如*/*（所有文件类型）。 实体头：包含被请求实体的原信息。 图4.62　HTTP请求报文的数据帧 任务4.4.1 HTTP响应报文的结构如图4.63所示。关于实时通信中HTTP响应报文的数据帧如图4.64所示，可将理论上的报文结构与真实的数据帧进行对照理解。 HTTP版本号 状态码 响应头 实体头 内容 图4.63