wireshark应用抓包分析.docVIP

Wireshark 抓包分析 CONTENT 引言 1 利用wireshark抓取网页服务协议并分析 1.1 HTTP协议报文结构及分析 1.2 HTTPS是什么 1.3 HTTP与HTTPS的比较 1.4分别在网络空闲与网络繁忙时比较相关报文传送的区别 2 利用wireshark抓取邮件传输协议并分析 2.1 SMTP邮件发送协议的结构 2.2 POP3与IMAP协议结构的区别 2.3网页版收发邮件与邮件客户端收发时使用协议的比较 3 利用wireshark抓取ftp文件传输协议 3.1 ftp协议的格式及特点分析 4 分析DNS的解析过程 4.1“”域名解析实例分析 4.2“”域名解析实例分析 Ps：之前在写目录的时候觉得这样来分析分析会对应用层协议的理解更加全面一点，但是基于各种原因只是完成了黑色字体部分，而且还可能存在很多错误。有机会可以进一步完善。 引言 经过计算机网络基础前面时间的学习，使我们对网络应用层的协议有了一定的了解。协议就像一门语言，需要定义语法、语意和语序（时序、同步）。语法即为协议的具体格式；语意定义了具体格式中具体指代，比如说，空一行后的数据表示为数据字段；就目前说掌握的只是而言，我对语序的理解还不是很清楚，这里就不加赘述。 下面将主要从应用层的协议出发，利用我们所学习过的知识，对不同的应用请求响应过程进行分析，探究在不同网络工作环境下网络协议的变化。 本次抓包分析的环境为IE9浏览器，使用wireshark的版本为32位第1.4.9版。 1 利用wireshark抓取网页服务协议并分析 1.1 HTTP协议报文结构及分析 首先清空IE浏览器的缓存、cookie等信息，并运行wireshark。 输入“”后得到抓包文件如图1所示。 图1“”后得到抓包数据 第1行的SSDP协议也是应用层的协议，大致意思就是用来申明自己的存在。从在No.14时用户向服务器（web缓存）发起360云盘的网页请求。在No.25时用户想360云盘的服务器直接发起请求，说明在此之前web缓存已将360云盘服务器的地址信息转发给用户。同时此后的通信双方为用户与360云盘服务器，并没有经过web缓存，说明实际web缓存的作用并不像我们所学习的那样——web缓存要缓存小区域内说用用户请求过的网页文件，并在超时时才给以删除。在No.25时，用户向服务器发起网页请求，同时在No.32时服务器向用户返回请求的信息（html）即基本的网页文件。此后，用户发应用文件的申请。No.34、35中用户发起的申请并为按照次序返回给用户，而是No.35的请求先到达，No.34后到，但是用户却没有再次发出请求报文，说明定时器还没有超时，并且两个响应报文可能走了不同的路由路径。 图2 TCP out-of-order 在No.135时，出现了陌生地址发送来的HTTP报文，该报文采用的是HTTP1.0协议，可见HTTP1.0与HTTP1.1监听的端口都是80。HTTP报文的传输层协议是TCP协议，采用IP地址以及端口号同时建立一对一的连接关系，接收到陌生地址报文的原因或许是360云盘的网页上引用了其他服务器的信息。但更多的可能是报文地址出错，错发到这里了。 图3 同样也是第三方的服务器地址 No.364时，又是出现了第三方的服务器地址，并没有出现图2中TCP乱序的说法，因此此处的第三方服务器更像是360云盘网页上引用的其他服务器的信息。 1.2 HTTPS协议报文结构及分析 当我们在使用网盘的时候，比如说酷盘，不难发现它使用的URL是以https开头的协议而不是我们所熟知的http协议。想必这二者之间必定存在一定联系，但是又有一定区别。下面就利用wireshark抓的酷盘登陆时的数据包来探究上述二者的异同。 百度百科中对HTTPS即安全超文本传输协议是：HTTPS又称S-HTTP是一种结合HTTP而设计的消息的安全通信协议。S-HTTP协议为HTTP客户机和服务器提供了多种安全机制，这些安全服务选项是适用于Web上各类用户的。还为客户机和服务器提供了对称能力，同时维持HTTP的通信模型和实施特征。 　　S-HTTP不需要客户方的公用密钥证明，但它支持对称密钥的操作模式。这意味着在没有要求用户个人建立公用密钥的情况下，会自发地发生私人交易。它支持端对端安全传输，客户机可能首先启动安全传输（使用报头的信息），用来支持加密技术。 　　在语法上，S-HTTP报文与HTTP相同，由请求行或状态行组成，后面是信头和主体。请求报文的格式由请求行、通用信息头、请求头、实体头、信息主体组成。相应报文由响应行、通用信息头、响应头、实体头、信息主体组成。 以上解释并没有十分