局域網的數據包監(jiān)聽及數據分析畢業(yè)設計.doc

精品文檔河南工業(yè)職業(yè)技術學院畢業(yè)設計任務書類別： 三年制高職 專 業(yè)：計算機網絡技術 班 級: 網絡 姓 名： 托爾 畢業(yè)設計題目： 局域網的數據包監(jiān)聽及數據分析 指導教師及聯(lián)系方式： 負責人簽字： 年 月 日39歡迎下載39歡迎下載。設計任務及要求： 1、認真學習sinffer的使用方法。 2、使用sinffer抓出ftp、http、mail等服務工作數據包。 3、分析收集到的數據包的結構，描述出上述協(xié)議的工作過程，寫出分析報告 4、用java語言編寫文件傳送的應用程序 應完成的硬件或軟件實驗： 1、分析ftp、http、mail的數據包的結構 2、 java語言編寫文件傳送的應用程序 應交出的設計文件及實物(包括設計論文、程序清單或磁盤、實驗裝置或產品等)： 1、設計論文 2、文件傳送的應用程序 指導教師（簽字）： 年 月 日摘要Internet 是20世紀最偉大的發(fā)明之一，它將全世界數以萬計的計算機設備連接成一個巨大的網絡，并使它們能在彼此之間迅速方便的傳輸信息，整個世界好像突然變小了，改變整個世界的不只是Internet本身，還有無法計數的構筑在其上的TCP/IP協(xié)議簇的體系結構及各層組成協(xié)議的工作機制。通過電子郵件，信件的往來不再需要幾天甚至幾周了，WWW通過Web頁面容合了文本，圖像，聲音，和視頻等多種信息，給人類帶來了豐富多彩的網絡世界。文件的共享已不再困難，FTP的出現，促進文件的共享；間接或隱式地使用遠程計算機；使不同的文件存儲系統(tǒng)對用戶來講是透明的，因此本文主要闡述了目前網絡所使用的網絡應用Email ,HTTP,FTP等協(xié)議工作原理，做了簡單的介紹，并對最廣泛的監(jiān)聽工具sniffer做了簡單的概述?！娟P鍵詞】 網絡協(xié)議 Sniffer_pro 協(xié)議分析 HTTP FTP 引 言 目前，網絡的速度發(fā)展非?？欤瑢W習網絡的人也越來越多，稍有網絡常識的人都知道TCP/IP協(xié)議是網絡的基礎，是Internet的語言，可以說沒有TCP/IP協(xié)議就沒有互聯(lián)網的今天。目前號稱搞網的人非常多，許多人就是從一把夾線鉗，一個測線器聯(lián)網開始接觸網絡的，如果只是聯(lián)網玩玩，知道幾個Ping之類的命令就行了，如果想在網絡上有更多的發(fā)展不管是黑道還是紅道，必須要把TCP/IP協(xié)議搞的非常明白。 正如Internet的核心TCP/IP協(xié)議的目標所指出的，任何人都可以方便地使用Internet，并在其上開發(fā)出新的應用。當然，要開發(fā)基于Internet上的應用必須先知道它是如何工作的，即它是如何將各種各樣不同的設備連接起來的，如何將數據從一個計算機設備傳輸到另一個的過程，是如何支持各種各樣的應用軟件的。當然，如果你的 工作不需要知道這些，如果你對此不感興趣，那就無所謂了，但如果想對網絡有更深的了解，那就必須對網絡協(xié)議的工作原理有更加深刻的認識，和了解。這樣將對你的職業(yè)生涯有更大的幫助，司機雖然不用生產自己開店汽車，但一個好司機應該知道汽車的工作原理。同樣網絡軟件開發(fā)人員不用自己設計通訊網絡的軟件，但應該知道網絡協(xié)議的工作原理和機制，這樣才能開發(fā)正確,穩(wěn)定,高效的網絡軟件。地址郵件是Internet上的最早的應用之一，由于電子郵件與傳統(tǒng)的郵件相比具有傳輸速度快速，風雨無阻的優(yōu)點，同時又不像電話那樣需要通信雙方同時在場，因此，電子郵件應用出現后發(fā)展迅速，目前已成為Internet上最流行的應用之一。WWW因為采用了圖像用戶界面，在Web頁面中融合了文本，圖像，聲音，和視頻等多媒體信息，給網絡帶來了豐富多彩的網絡生活，因此，受到了廣泛的歡迎。FTP文件傳輸協(xié)議因為具有：促進文件的共享；鼓勵間接地或隱式的來使用遠程計算機；使得不同主機的不同文件存儲系統(tǒng)對用戶來講是透明的；高效可靠的傳輸數據，也受到了Internet用戶的喜愛。學習過TCP/IP協(xié)議的人多有一種感覺，這東西太抽象了，沒有什么數據實例，看完不久就忘了。本論文將介紹利用協(xié)議分析工具學習TCP/IP協(xié)議簇中最常用的Email,FTP,HTTP等協(xié)議，在學習的過程中能直觀的看到數據的具體傳輸過程，及工作原理。 第一章 Internet 概述1.1 Internet的定義在英語中“Inter”的含義是“互動的”，“net”是指“網絡”。簡單而言，Internet是指一個由計算機構成的交互網絡。它是全球數萬個計算機網絡，數千臺計算機連接起來，包含了難以計數的信息資源，向全世界提供信息服務。它的出現，是世界由工業(yè)化走向信息化的必然和象征。從網絡通信角度來看，Internet是一個以TCP/IP網絡協(xié)議連接各個國家，各個地區(qū)，各個機構的計算機網絡的數據通信網。從信息角度來看，Internet是一個集各個部門，各個領域的各種信息資源為一體，供網上用戶共享的信息資源網。1.2 Internet 協(xié)議 Internet的是實質是實現異種網絡的互聯(lián)，它充分利用各種通信子網的數據傳輸能力，通過在依賴于通信子網的通信模塊和應用程序之間插入新的協(xié)議軟件來保證應用程序之間的互操作性。因特網協(xié)議簇稱為 TCP/IP 協(xié)議簇。其中包含了為數重多的協(xié)議，應用層的 Telnet, FTP, HTTP, SMTP,DNS等協(xié)議,傳輸層TCP, UDP協(xié)議，網絡層的IP, ARP,RARP,ICMP,IGMP等協(xié)議。 1.2 Internet 應用現狀與發(fā)展趨勢 從目前的情況來看，Internet市場仍具有巨大的發(fā)展?jié)摿?，未來其應用將涵蓋從辦公室共享信息到市場營銷，服務等廣泛領域。另外，Internet帶來的電子貿易正改變著現今商業(yè)活動的傳統(tǒng)模式，其提供的方便而廣泛的互聯(lián)必將對未來社會的各個方面帶來的影響。 隨著世界各國信息高速公路計劃的實施，Internet主干網的通信速度將大幅度提高；有線，無線等多種通信方式將更加廣泛，有效地融為一體；internet的商業(yè)應用的范圍也將不斷擴大；Internet的覆蓋范圍，用戶入網數以令人難以令人難以置信的速度發(fā)展；網絡資源急劇膨脹?？傊?，人類社會必將更加依賴Internet，人們的生活方式將因此而發(fā)生根本的改變。第二章 TCP/IP協(xié)議TCP/IP（Transmission Control Protocol /Internet Protocol)的簡寫，中文譯名為傳輸控制協(xié)議/因特網互聯(lián)協(xié)議，又叫網絡通訊協(xié)議，這個協(xié)議是Internet最基本的協(xié)議、Internet國際互聯(lián)網絡的基礎，簡單地說，就是由網絡層的IP協(xié)議和傳輸層的TCP協(xié)議組成的。2.1 TCP/IP協(xié)議的發(fā)展背景1975年，兩個網絡之間的TCP/IP通信在斯坦福和倫敦大學（UCL）之間進行了測試。1977年11月，三個網絡之間的TCP/IP測試在美國、英國和挪威之間進行。在1978年到1983年間，其他一些TCP/IP原型在多個研究中心之間開發(fā)出來。ARPANET完全轉換到TCP/IP在1983年1月1日發(fā)生。1997年，為了褒獎對因特網發(fā)展作出突出貢獻的科學家，并對TCP/IP協(xié)議作出充分肯定，美國授予為因特網發(fā)明和定義TCP/IP協(xié)議的文頓瑟夫和卡恩“國家技術金獎”。這無疑使人們認識到TCP/IP協(xié)議的重要性。2.2 TCP/IP協(xié)議的定義TCP/IP 是供已連接因特網的計算機進行通信的通信協(xié)議。定義了電子設備（比如計算機）如何連入因特網，以及數據如何在它們之間傳輸的標準。TCP/IP是一個兩層的程序。高層為傳輸控制協(xié)議，它負責聚集信息或把文件拆分成更小的包。這些包通過網絡傳送到接收端的TCP層，接收端的TCP層把包還原為原始文件。低層是網際協(xié)議，它處理每個包的地址部分，使這些包正確的到達目的地。網絡上的網關計算機根據信息的地址來進行路由選擇。即使來自同一文件的分包路由也有可能不同，但最后會在目的地匯合。 TCP/IP通信是點對點的。TCP/IP與上層應用程序之間可以說是“沒有國籍的”，因為每個客戶請求都被看做是與上一個請求無關的。正是它們之間的“無國籍的”釋放了網絡路徑，才是每個人都可以連續(xù)不斷的使用網絡。 許多用戶熟悉使用TCP/IP協(xié)議的高層應用協(xié)議。包括萬維網的超文本傳輸協(xié)議（HTTP），文件傳輸協(xié)議（FTP），遠程網絡訪問協(xié)議(Telnet)和簡單郵件傳輸協(xié)議（SMTP）。這些協(xié)議通常和TCP/IP協(xié)議打包在一起。 使用模擬電話調制解調器連接網絡的個人電腦通常是使用串行線路接口協(xié)議（SLIP）和點對點協(xié)議（P2P）。這些協(xié)議壓縮IP包后通過撥號電話線發(fā)送到對方的調制解調器中。 有TCP/IP協(xié)議相關的協(xié)議還包括用戶數據報協(xié)議（UDP），它代替TCP/IP協(xié)議來達到特殊的目的。其他協(xié)議是網絡主機用來交換路由信息的，包括Internet控制信息協(xié)議（ICMP），內部網關協(xié)議（IGP），外部網關協(xié)議（EGP），邊界網關協(xié)議（BGP）。2.3 TCP/IP協(xié)議的參考模型TCP/IP協(xié)議并不完全符合OSI的七層參考模型。傳統(tǒng)的開放式系統(tǒng)互連參考模型，是一種通信協(xié)議的7層抽象的參考模型,其中每一層執(zhí)行某一特定任務。該模型的目的是使各種硬件在相同的層次上相互通信。這7層是:物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。而TCP/IP通訊協(xié)議采用了4層的層級結構，每一層都呼叫它的下一層所提供的網絡來完成自己的需求。這4層分別為： 應用層：應用程序間溝通的層，如簡單電子郵件傳輸（SMTP）、文件傳輸協(xié)議（FTP）、網絡遠程訪問協(xié)議（Telnet）等。 傳輸層：在此層中，它提供了節(jié)點間的數據傳送，應用程序之間的通信服務，主要功能是數據格式化、數據確認和丟失重傳等。如傳輸控制協(xié)議（TCP）、用戶數據報協(xié)議（UDP）等，TCP和UDP給數據包加入傳輸數據并把它傳輸到下一層中，這一層負責傳送數據，并且確定數據已被送達并接收。 互連網絡層：負責提供基本的數據封包傳送功能，讓每一塊數據包都能夠到達目的主機（但不檢查是否被正確接收），如網際協(xié)議（IP）。 網絡接口層（主機-網絡層）：接收IP數據報并進行傳輸，從網絡上接收物理幀，抽取IP數據報轉交給下一層，對實際的網絡媒體的管理，定義如何使用實際網絡（如Ethernet、Serial Line等）來傳送數據。在源主機上，應用層將一串應用數據流傳送給傳輸層。傳輸層將應用層的數據流截成分組，并加上TCP報頭形成TCP段，送交網絡層。在網絡層給TCP段加上包括源、目的主機IP地址的IP報頭，生成一個IP數據包，并將IP數據包送交鏈路層。鏈路層在其MAC幀的數據部分裝上IP數據包，再加上源、目的主機的MAC地址和幀頭，并根據其目的MAC地址，將MAC幀發(fā)往目的主機或IP路由器。在目的主機，鏈路層將MAC幀的幀頭去掉，并將IP數據包送交網絡層。網絡層檢查IP報頭，如果報頭中校驗和與計算結果不一致，則丟棄該IP數據包；若校驗和與計算結果一致，則去掉IP報頭，將TCP段送交傳輸層。傳輸層檢查順序號，判斷是否是正確的TCP分組，然后檢查TCP報頭數據。若正確，則向源主機發(fā)確認信息；若不正確或丟包，則向源主機要求重發(fā)信息。在目的主機，傳輸層去掉TCP報頭，將排好順序的分組組成應用數據流送給應用程序。這樣目的主機接收到的來自源主機的字節(jié)流，就像是直接接收來自源主機的字節(jié)流一樣。第三章sniffer簡介 3.1sniffer軟件簡介 Sniffer軟件是NAI公司推出的功能強大的協(xié)議分析軟件。本文針對用Sniffer Pro網絡分析器進行故障解決。利用Sniffer Pro 網絡分析器的強大功能和特征，解決網絡問題，將介紹一套合理的故障解決方法。與Netxray比較，Sniffer支持的協(xié)議更豐富，例如PPPOE協(xié)議等在Netxray并不支持，在Sniffer上能夠進行快速解碼分析。Netxray不能在Windows 2000和Windows XP上正常運行，Sniffer Pro 4.6可以運行在各種Windows平臺上。Sniffer軟件比較大，運行時需要的計算機內存比較大，否則運行比較慢，這也是它與Netxray相比的一個缺點。3.2 Sniffer 工作原理 首先，要知道SNIFFER要捕獲的東西必須是要物理信號能收到的報文信息。顯然只要通知網卡接收其收到的所有包（一般叫作雜收promiscuous模式：指網絡上的所有設備都對總線上傳送的數據進行偵聽，并不僅僅是它們自己的數據。），在共享HUB下就能接收到這個網段的所有包，但是交換HUB下就只能是自己的包加上廣播包。 要想在交換HUB下接收別人的包，那就要讓其發(fā)往你的機器所在口。交換HUB記住一個口的MAC是通過接收來自這個口的數據后并記住其源MAC，就像一個機器的IP與MAC對應的ARP列表，交換HUB維護一個物理口（就是HUB上的網線插口，這之后提到的所有HUB口都是指網線插口）與MAC的表，所以可以欺騙交換HUB的?？梢园l(fā)一個包設置源MAC是你想接收的機器的MAC，那么交換HUB就把你機器的網線插的物理口與那個MAC對應起來了，以后發(fā)給那個MAC的包就發(fā)往你的網線插口了，也就是你的網卡可以SNIFFER到了。注意這物理口與MAC的表與機器的ARP表一樣是動態(tài)刷新的，那機器發(fā)包后交換HUB就又記住他的口了，所以實際上是兩個在爭，這只能應用在只要收聽少量包就可以的場合。內部網基于IP的通信可以用ARP欺騙別人機器讓其發(fā)送給你的機器，如果要想不影響原來兩方的通信，可以欺騙兩方，讓其都發(fā)給你的機器再由你的機器轉發(fā)，相當于做中間人，這用ARP加上編程很容易實現。并且現在很多設備支持遠程管理，有很多交換HUB可以設置一個口監(jiān)聽別的口，不過這就要管理權限了。利用這一點，可以將一臺計算機的網絡連接設置為接受所有以太網總線上的數據，從而實現sniffer。Sniffer就是一種能將本地網卡狀態(tài)設成雜收狀態(tài)的軟件，當網卡處于這種“雜收”方式時，該網卡具備“廣播地址”，它對遇到的每一個幀都產生一個硬件中斷以便提醒操作系統(tǒng)處理流經該物理媒體上的每一個報文包。（絕大多數的網卡具備置成雜收方式的能力）可見，sniffer工作在網絡環(huán)境中的底層，它會攔截所有的正在網絡上傳送的數據，并且通過相應的軟件處理，可以實時分析這些數據的內容，進而分析所處的網絡狀態(tài)和整體布局。值得注意的是：sniffer是極其安靜的，它是一種消極的安全攻擊。嗅探器在功能和設計方面有很多不同。有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議。一般情況下，大多數的嗅探器至少能夠分析下面的協(xié)議：標準以太網、TCP/IP、IPX、DECNet。 3.3 sniffer的主要功能v 捕獲網絡流量進行詳細分析v 利用專家分析系統(tǒng)診斷問題v 實時監(jiān)控網絡活動 v 收集網絡利用率和錯誤等 3.4功能簡介專家分析專家分分析系統(tǒng)提供了一個只能的分析平臺，對網絡上的流量進行了一些分析對于分析出的診斷結果可以查看在線幫助獲得。在下圖中顯示出在網絡中WINS查詢失敗的次數及TCP重傳的次數統(tǒng)計等內容，可以方便了解網絡中高層協(xié)議出現故障的可能點。對于某項統(tǒng)計分析可以通過用鼠標雙擊此條記錄可以查看詳細統(tǒng)計信息且對于每一項都可以通過查看幫助來了解起產生的原因。解碼分析對捕獲報文進行解碼的顯示，通常分為三部分，目前大部分此類軟件結構都采用這種結構顯示。對于解碼主要要求分析人員對協(xié)議比較熟悉，這樣才能看懂解析出來的報文。使用該軟件是很簡單的事情，要能夠利用軟件解碼分析來解決問題關鍵是要對各種層次的協(xié)議了解的比較透徹。工具軟件只是提供一個輔助的手段。因涉及的內容太多，這里不對協(xié)議進行過多講解，請參閱其他相關資料。對于MAC地址，Snffier軟件進行了頭部的替換，如00e0fc開頭的就替換成Huawei，這樣有利于了解網絡上各種相關設備的制造廠商信息。功能是按照過濾器設置的過濾規(guī)則進行數據的捕獲或顯示。在菜單上的位置分別為 Capture-Define Filter和Display-Define Filter。過濾器可以根據物理地址或IP地址和協(xié)議選擇進行組合篩選。統(tǒng)計分析對于Matrix，Host Table，Portocol Dist. Statistics等提供了豐富的按照地址，協(xié)議等內容做了豐富的組合統(tǒng)計，比較簡單，可以通過操作很快掌握這里就不再詳細介紹了。2.4 設置捕獲條件基本捕獲條件基本的捕獲條件有兩種：1、鏈路層捕獲，按源MAC和目的MAC地址進行捕獲，輸入方式為十六進制連續(xù)輸入，如：00E0FC123456。2、IP層捕獲，按源IP和目的IP進行捕獲。輸入方式為點間隔方式，如：。如果選擇IP層捕獲條件則ARP等報文將被過濾掉。高級捕獲條件在“Advance”頁面下，你可以編輯你的協(xié)議捕獲條件，高級捕獲條件編輯圖在協(xié)議選擇樹中你可以選擇你需要捕獲的協(xié)議條件，如果什么都不選，則表示忽略該條件，捕獲所有協(xié)議。在捕獲幀長度條件下，你可以捕獲，等于、小于、大于某個值的報文。在錯誤幀是否捕獲欄，你可以選擇當網絡上有如下錯誤時是否捕獲。在保存過濾規(guī)則條件按鈕“Profiles”，你可以將你當前設置的過濾規(guī)則，進行保存，在捕獲主面板中，你可以選擇你保存的捕獲條件。任意捕獲條件在Data Pattern下，你可以編輯任意捕獲條件，如下圖：用這種方法可以實現復雜的報文過濾，但很多時候是得不償失，有時截獲的報文本就不多，還不如自己看看來得快。 第四章 EMAIL協(xié)議 4.1 Email 簡介 郵件服務是Internet上最常用的服務之一，它提供了與操作系統(tǒng)平臺無關的通信服務，使用郵件服務，用戶可通過電子郵件在網絡之間交換數據信息。郵件傳輸包括將郵件從發(fā)送者客戶端發(fā)往郵件服務器，以及接收者從郵件服務器將郵件取回到接收者客戶端。 4.2 SMTP和POP3 在TCP/IP協(xié)議簇中，一般使用SMTP協(xié)議發(fā)送郵件，POP3協(xié)議接收郵件。SMTP，全稱Simple Message Transfer Protocol，中文名為簡單郵件傳輸協(xié)議，工作在TCP/IP層次的應用層。SMTP采用Client/Server工作模式，默認使用TCP 25端口，提供可靠的郵件發(fā)送服務。POP3，全稱Post Office Protocol 3，中文名為第三版郵局協(xié)議，工作在TCP/IP層次的應用層。POP3采用Client/Server工作模式，默認使用TCP 110端口，提供可靠的郵件接收服務。 4.3 實驗環(huán)境 我們使用sniffer網絡分析軟件捕獲并分析一個使用SMTP協(xié)議的發(fā)送郵件過程，客戶端主機名為“xuanxuan”，客戶端用戶代理使用Foxmail 6.5 ，郵件發(fā)送者676624157QQ.com，郵件接收者。在sniffer網絡分析軟件中開始數據捕獲，在Foxmail中使用676624157QQ.com向發(fā)送一封郵件，郵件原始信息如圖4-1所示。發(fā)送完成后即可在sniffer網絡分析軟件對剛才的郵件發(fā)送操作進行分析。 圖4-1（原始郵件） 圖4-2 （郵件發(fā)送數據包） 4.4 STMP數據包分析圖4-2所示的是sniffer網絡抓包軟件對上面發(fā)送郵件操作的報文跟蹤，詳細信息如下： 1. 第1、2個數據包是本地主機向域名服務器請求域名解析的一個過程，本地的IP是1，域名服務器的IP是8。2. 第3、4、5個數據包是TCP連接的三次握手數據包，連接的雙方是本機1與域名SMTPQQ.com對應的IP地址47。 3. 從第6個數據包開始，服務端已經準備好郵件接收的準備，客戶端開始通過TCP協(xié)議連接POP3服務器，并與POP3服務器進行命令的交互。4. 第7到18個數據包是發(fā)件方問候收件方，使用的是HELO命令，后面所跟的參數是發(fā)件方的服務器地址這里的是xuanxuan表示本地標識（如第7行），客戶端發(fā)送此命令與SMTP服務器建立連接，將發(fā)送者郵件地址發(fā)送給SMTP服務器 ，第18行表示收件方和發(fā)件方已經建立連接成功。5. 第19到21個數據包是表明開始傳送郵件，MAIL這個命令后面所跟的參數是發(fā)件方的郵箱地址這里的是676624157QQ.com（如第19行），它的作用還有當郵件無法到達時，發(fā)送失敗通知。第21行表明郵件的地址已經通過收件方服務器的認證。6. 第22-24個數據包是告訴收件方的郵箱地址。當有多個收件地址的時候需要多次使用該命令，這里如（如圖4-2第22行）第24個數據包表明SMTP.QQ.COM服務器同意轉發(fā)該地址（）。7. 第25-27個數據包是表明發(fā)送方發(fā)送的數據的過程，當遇到.行表明數據傳輸結束（如圖4-2第27個數據包）。8. 第28個數據包的結夠如圖4-3，它傳送到內容是郵件的一些基本信息（發(fā)送時間：2010.11.12 - 9：33：35 發(fā)件方地址：676624157 主題內容：是一些加了密的編碼 MIME版本：1.0版 圖第8行是mime使用的是 multiparty/alternative內容類型 圖4-39. 第30個數據包的結構如圖4-4，它定義一些郵件正文的一些屬性編碼信息和一些加通過編碼的數據。 圖4-410. 第33個數據包標志著整個郵件發(fā)送已經結束。4.5 SMTP郵件接收郵件 圖4-5（郵件接收過程）圖4-5所示的是sniffer網絡分析系統(tǒng)對上面接收郵件操作包的跟蹤，以下是具體包的分析：1. 第1、2個數據包是本地主機向域名服務器請求域名解析的一個過程 ，本地的IP是1，域名服務器的IP是8。2. 第3、4、5個數據包是TCP連接的三次握手數據包，連接的雙方是本機1與域名pop3.163.idns.yeah,.net建立連接。3. 第6個數據包表示pop3.163.idns.yeah,net服務器向本機發(fā)送一個連接確認消息，表示連接成功。4. 第7，8，9，10，11個數據包是本機1 使用user命令，將用戶帳號dpeixuan發(fā)送給服務器，第8，9個數據包是pop3服務器返回確認數據包，第10個數據包是本機發(fā)送的pass命令攜帶的是密碼，第11個數據包是pop3服務器，根據本機發(fā)送的賬戶和密碼，返回的確認數據包，表示本機可以訪問本地主機指定的郵箱信息。 5. 第12個數據包是本機向POP3服務器發(fā)送STAT命令，請求POP3服務器返回郵箱的統(tǒng)計信息，第13個數據包是POP3服務器接收到本機的STAT命令返回的，相關數據信息。6. 第14個數據包是本機向POP3服務器發(fā)送UIDL命令要求POP3返回郵件的唯一標識符，第15.16.個數據包是POP3服務器返回的郵件的唯一標識，17是POP3返回的確認數據包。7. 第18個數據包是本機發(fā)送的LIST命令，要求POP服務器返回郵件的數量和每個郵件的大小。第19個數據包是POP3服務器返回的本機請求的信息，本郵箱共有63封郵件，和各個郵件的大小。圖4-68. 第20個數據包是本機向服務器發(fā)送RETR命令，要求服務器返回RETR 命令所標識的第68封郵件，第21數據包是服務器返回的確認數據包，表示服務器已經接收命令，第22個數據包是顯示的是第68封郵件的基本描述信息，第23個數據包是本機發(fā)送的確認數據包，第24和25個數據包是郵件明碼顯示的內容，如圖4-6所示，第26.27個數據包是本機向服務器發(fā)送的確認數據包，和QUIT命令當POP3服務器接收的此命令后會斷開和客戶機的連接。4.6 分析結論以上簡單介紹了SMTP和POP3協(xié)議，并使用sniffer網絡分析分析系統(tǒng)，跟蹤分析了一個基于SMTP/POP3協(xié)議的郵件收發(fā)操作。據此，用戶在遇到不能正常收發(fā)郵件（使用SMTP/POP3協(xié)議）的問題時，即可結合上述的SMTP/POP3相關知識，使用網絡檢測分析軟件（這兒是sniffer網絡分析系統(tǒng)）對郵件接收和郵件發(fā)送的報文進行跟蹤分析，以完成對此類故障的快速排查。 第五章 HTTP協(xié)議5.1 HTTP協(xié)議概述 HTTP是一個客戶端和服務器端請求和應答的標準（TCP）?？蛻舳耸墙K端用戶，服務器端是網站。通過使用Web瀏覽器、網絡爬蟲或者其它的工具，客戶端發(fā)起一個到服務器上指定端口（默認端口為80）的HTTP請求。（我們稱這個客戶端）叫用戶代理（user agent）。應答的服務器上存儲著（一些）資源，比如HTML文件和圖像。（我們稱）這個應答服務器為源服務器（origin server）。在用戶代理和源服務器中間可能存在多個中間層，比如代理，網關，或者隧道（tunnels）。盡管TCP/IP協(xié)議是互聯(lián)網上最流行的應用，HTTP協(xié)議并沒有規(guī)定必須使用它和（基于）它支持的層。 事實上，HTTP可以在任何其他互聯(lián)網協(xié)議上，或者在其他網絡上實現。HTTP只假定（其下層協(xié)議提供）可靠的傳輸，任何能夠提供這種保證的協(xié)議都可以被其使用。5.2 HTTP協(xié)議的工作模式HTTP協(xié)議是基于請求響應范式的。一個客戶機與服務器建立連接后，發(fā)送一個請求給服務器，請求方式的格式為，統(tǒng)一資源標識符、協(xié)議版本號，后邊是MIME信息包括請求修飾符、客戶機信息和可能的內容。服務器接到請求后，給予相應的響應信息，其格式為一個狀態(tài)行包括信息的協(xié)議版本號、一個成功或錯誤的代碼，后邊是MIME信息包括服務器信息、實體信息和可能的內容。許多HTTP通訊是由一個用戶代理初始化的并且包括一個申請在源服務器上資源的請求。最簡單的情況可能是在用戶代理(UA)和源服務器(O)之間通過一個單獨的連接來完成。當一個或多個中介出現在請求響應鏈中時，情況就變得復雜一些。中介由三種：代理(Proxy)、網關(Gateway)和通道(Tunnel)。一個代理根據URI的絕對格式來接受請求，重寫全部或部分消息，通過URI的標識把已格式化過的請求發(fā)送到服務器。網關是一個接收代理，作為一些其它服務器的上層，并且如果必須的話，可以把請求翻譯給下層的服務器協(xié)議。 5.3 HTTP協(xié)議的特點 從上述HTTP協(xié)議的工作模式可以看出HTTP協(xié)議具有如下主要特點：（1） 支持客戶/服務器模式（2） 簡捷快速：客戶機向服務器請求時，只需傳送請求方法和路徑。請求方法常用的有GET，HEAD，POST。每種方法規(guī)定了客戶機和服務器聯(lián)系的類型不同。由于HTTP協(xié)議的簡單使得HTTP服務器的程序規(guī)模小，因而通信速度很快。（3） 靈活：無連接的含義是限制每次連接至處理一個請求。服務器處理完客戶機的請求，并收到客戶機的應答后，即斷開連接。（4） 無連接（5） 無狀態(tài)5.4 HTTP協(xié)議通信過程 當我們在瀏覽器的地址欄輸入“”然后按回車，這之后發(fā)生了什么事，我們直接看到的是打開了對應的網頁，那么內部客戶端和服務端是如何通信的呢？下面就詳細介紹一下HTTP工作的過程 1、URL自動解析 HTTP URL包含了用于查找某個資源的足夠信息，基本格式如下：HTTP:/host“:”portabs_path，其中HTTP表示桶蓋HTTP協(xié)議來定位網絡資源；host表示合法的主機域名或IP地址，port指定一個端口號，缺省80；abs_path指定請求資源的URI；如果URL中沒有給出abs_path，那么當它作為請求URI時，必須以“/”的形式給出，通常這個工作瀏覽器自動幫我們完成。 2、獲取IP，建立TCP連接 瀏覽器地址欄中輸入HTTP://并提交之后，首先它會在DNS本地緩存表中查找，如果有則直接告訴IP地址。如果沒有則要求網關DNS進行查找，如此下去，找到對應的IP后，則返回會給瀏覽器。 當獲取IP之后，就開始與所請求的Tcp建立三次握手連接，連接建立后，就向服務器發(fā)出HTTP請求。3、客戶端瀏覽器向服務器發(fā)出HTTP請求 一旦建立了TCP連接，Web瀏覽器就會向Web服務器發(fā)送請求命令，接著以頭信息的形式向Web服務器發(fā)送一些別的信息，之后瀏覽器發(fā)送了一空白行來通知服務器，它已經結束了該頭信息的發(fā)送。4、Web服務器應答，并向瀏覽器發(fā)送數據 客戶機向服務器發(fā)出請求后，服務器會客戶機回送應答， HTTP/1.1 200 OK 應答的第一部分是協(xié)議的版本號和應答狀態(tài)碼，正如客戶端會隨同請求發(fā)送關于自身的信息一樣，服務器也會隨同應答向用戶發(fā)送關于它自己的數據及被請求的文檔。 Web服務器向瀏覽器發(fā)送頭信息后，它會發(fā)送一個空白行來表示頭信息的發(fā)送到此為結束，接著，它就以Content-Type應答頭信息所描述的格式發(fā)送用戶所請求的實際數據 5、Web服務器關閉TCP連接 一般情況下，一旦Web服務器向瀏覽器發(fā)送了請求數據，它就要關閉TCP連接，然后如果瀏覽器或者服務器在其頭信息加入了這行代碼 Connection:keep-alive  TCP連接在發(fā)送后將仍然保持打開狀態(tài)，于是，瀏覽器可以繼續(xù)通過相同的連接發(fā)送請求。保持連接節(jié)省了為每個請求建立新連接所需的時間，還節(jié)約了網絡帶寬。 圖5-15.5實驗環(huán)境 本實用是使用與瀏覽器訪問百度的過程，圖5-1是用sniffer抓包工具抓獲得本機1訪問過程中捕獲的數據包下面我們來詳細分析HTTP的請求和響應信息的數據包內容和工作過程。圖5-25.6數據包詳細分析圖5-2是第一個數據包的內容如: 1 GET / HTTP/1.12Accept:fapplication/xml.application/xhtml+xml.text/html;/客戶端可識別的內容類型列表。 3 Accept-Language: zh-cn 客戶端所能解釋的語言：簡體中文5 Accept-Encoding: gzip, deflate 客戶端可以解釋的類型6 User-Agent: Mozilla/5.0客戶端瀏覽器型號7 Host: / 提交請求頁面8 Connection: Keep-Alive TCP連接保持打開9Accept-Charset請求報頭域用于指定客戶端接受的字符集10 請求方法URI協(xié)議/版本：以上代碼第1行“GET”表示請求方法，“HTTP/1.1代表協(xié)議和協(xié)議的版本，HTTP請求可以使用多種請求方法，最常用的為GET和POST方法請求頭：2-9行，包含許多有關客戶端環(huán)境和請求正文的有用信息。 空行 ：10行 請求頭和請求正文之間是一個空行，這個行非常重要，表示請求頭已經結束，接下來是正文，這個行非常重要，它表示請求頭已經結束，接下來是請求正文。請求正文中可以包含客戶提交的查詢字符串信息，如用戶名和密碼等。這里沒有。 這里有一點值得說明的是:請求方法中的GET和POST方法；GET方法是默認的HTTP請求方法，我們日常用GET方法來提交表單數據，然而用GET方法提交的表單數據只經過了簡單的編碼，同時它將作為URL的一部分向Web服務器發(fā)送，因此，如果使用GET方法來提交表單數據就存在著安全隱患上，同時這個URL長度還有限制，不允許超過1k。POST方法是GET方法的一個替代方法，它主要是向Web服務器提交表單數據，尤其是大批量的數據。POST方法克服了GET方法的一些缺點。通過POST方法提交表單數據時，數據不是作為URL請求的一部分而是作為標準數據傳送給Web服務器，這就克服了GET方法中的信息無法保密和數據量太小的缺點。因此，出于安全的考慮以及對用戶隱私的尊重，通常表單提交時采用POST方法。HTTP協(xié)議服務器響應數據包圖5-3圖5-3的第3個數據包它是一個響應數據包具體內容如下: 1HTTP/1.1 200 OK2Cache-Control: private, max-age=03Date: Fri, 27 Feb 2009 07:53:36 GMT4Expires: Sat ,13 Nov 2010 06:39:35 GMT5Content-Type: text/html; charset=gb23127Content-Encoding: gzip 8Server: BWS/1.09Transfer-Encoding: chunked 該響應信息也以對應的4部分組成： l協(xié)議狀態(tài)描述，HTTP/1.1表示協(xié)議版本，200 OK表示服務器已經成功處理了客戶端發(fā)出的請求。200表示HTTP的應答碼成功。HTTP應答碼由3位數字構成，其中首位數字定義了應答碼的類型： 1XX信息類(Information),表示收到Web瀏覽器請求，正在進一步的處理中 2XX成功類（Successful）,表示用戶請求被正確接收，理解和處理例如：200 OK 3XX-重定向類(Redirection),表示請求沒有成功，客戶必須采取進一步的動作。 4XX-客戶端錯誤(Client Error)，表示客戶端提交的請求有錯誤 例如：404 NOT Found，意味著請求中所引用的文檔不存在。5XX-服務器錯誤(Server Error)表示服務器不能完成對請求的處理：如 500 Date: /響應報文的時間 Server: /響應報文的服務器 Content-Length: /表明實體的長度 Connection: /告訴客戶機在報文發(fā)送完畢后連接的狀態(tài) Content-Type: /表明實體中的對象類型(html文檔) 響應頭：跟請求頭一樣，它指出服務器的功能，標識出響應數據的細節(jié)?？招校阂彩菍儆陧憫^和響應正文之間必須存在的一個空行，表示響應頭結束，接下來是響應正文5.7分析結論第六章FTP協(xié)議6.1 ftp協(xié)議簡介FTP是一個8位的客戶端-服務器協(xié)議，能操作任何類型的文件而不需要進一步處理，就像MIME或Unencode一樣。但是，FTP有著極高的延時，這意味著，從開始請求到第一次接收需求數據之間的時間會非常長，并且不時的必需執(zhí)行一些冗長的登陸進程。 FTP服務一般運行在20和21兩個端口。端口20用于在客戶端和服務器之間傳輸數據流，而端口21用于傳輸控制流，并且是命令通向ftp服務器的進口。當數據通過數據流傳輸時，控制流處于空閑狀態(tài)。而當控制流空閑很長時間后，客戶端的防火墻會將其會話置為超時，這樣當大量數據通過防火墻時，會產生一些問題。此時，雖然文件可以成功的傳輸，但因為控制會話會被防火墻斷開，傳