Http協(xié)議詳解之實(shí)戰(zhàn)：使用Wireshark

1、Http課程實(shí)戰(zhàn)劉豹目錄1. 使用WireShark分析訪問EKP首頁通信過程11.1 關(guān)于WireShark11.2 配置WireShark捕獲到EKP站點(diǎn)通信11.3 分析TCP三次握手連接建立過程31.4 分析連接建立過程后http通信過程51.5 連接關(guān)閉61.6 WireShark使用總結(jié)62. 使用HttpAnalyzer分析訪問EKP首頁通信過程62.1實(shí)驗(yàn)?zāi)康?2.2 分析典型通信過程62.3 冗余地響應(yīng)頭81.使用WireShark分析訪問EKP首頁通信過程1.1 關(guān)于 WireSharkWireShark：是一款開源地?cái)?shù)據(jù)流層（傳輸層.網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層）通信分析工具. 卜

2、載地址：/download.html1.2配置WireShark捕獲到EKP站點(diǎn)通信第一步：啟動(dòng)WireShark,選擇捕獲配置.第二步：設(shè)宜捕獲配置要點(diǎn)：選擇正確地網(wǎng)卡,且設(shè)置正確地捕獲過濾配置捕獲過濾 設(shè)置.:tep dst port 80.解釋：捕獲使用tep協(xié)議.目地端口為80地通信.1口1 x|lireshark： Capture OptionsCapture File (s)Stop Capture | . after | after ；一afterName ResolutiorvP Enable MAC name resolution

3、Di splay Opt ionsP Up di te list of pecke ts in real t ime叼 Rutomatic scrolling in live capture何 Hid capture info dialogFile：Browse.filesrnbyte 丨minute (z)file (s)廠 Use 旦ultiple filesminute (ss)Enable etvork nane resolution p* Enable traasport name resolutionHelpStartCancel做好以上配置后，就可以抓本機(jī)地所有使用tep協(xié)議到目

4、地端口為80地通信了為了減 少干擾，可以在本機(jī)只保持一個(gè)瀏覽器窗口.捕獲結(jié)果：* Ertct*r. !,UJ-3 0.0ZW57710104 O.OZ152710$ O.OSUSO10.$. 3.21(*6 0.0S1226107 0.07C65310,$.i4.2108 0.07TW71Q.7.M.2109 0.07TQ771010 0.07TO01O.S. M.21011 0.077412ly.k 11.271012 0.0S4 546,0 $.11.27101? 0.0992231014 0.10,03210.5

5、. M. 2101, 0-10197571010 0.1QO2Q117 0.127451s.n.x10.$.i4.2101018 0.G7S10. $ Q271019 0.14W31020 0*20995810 5.11.2710Z1 0.2咒血22 0.JU57O10.5.H.2710. $.11.2721023 0.452“64.4.S2.S10?4 0,52561O.S.11.272% 0.49M2510.5.U.27330 0.7JW2527 0.73&SOQSa1O.S.X1.271Ui4 0.81974 510. $.11.27105 0.642

6、30$10. $-34.21030 0 M2724103T 0. W274910S11.271059 0.9?(95771039 0.97351510ft-S広AC* -1尉 Ln-o NS-13904023 nttp l心)Seq-L Mk-1 対5乃37 Lt-GET /eko/port41.45px HTTPA 1nttpA.I 202 Fxrd C&iAiGn.nx.cr2mg?fpcrt；i1.xc mttp/1.1.!tcp i&)onc of a ra：ft1ad pdjITCP s初ent of j rea55e*tl*d POUJ4023

7、http心)Stq-1705 Acl-5)7 hHn.05535 Len-0(TCPof raic http CACK sfiq-L76S ACFM756 w1n-6$535 Lan-04624 nxcp Csvn soq-C w5r-6$35 LiTrO msc-1460HTrr/l.l ZOO C* acxtKRhttp I0Z4 (SrN. AOAcl-1 wm.lflJM Ln-0 H5S-13904024 http C*CKJ Seq-1 Ack-1 vdy乃3, LeMgkt /PwproJi/Ji/puuHc.)s Hrrp/l.iHTrP/l.l 304 FKX KOdlflf

8、idget /.canon/icrlots/glctal.ls http/1.1HTFPA.l 304 5 MoulFied4023 http(JUZK)Seq-1705 Mb孔豹 Mln-MW5 Len-04O：5 http SYNI Seao 5rbR35 uen-0 MSS-14 http Cacx3 SQQ-L6J2 ACi-l2 v1n-6$44 ls0htxp 462$2YN W CACX3 5OQ-： rl-l 1$t /sapi/cKQet dll rrPA.l nttp fACXj aq0-42C Vr-6511L 04625 http FXN. a：k:訊70M *ck-4

9、26 A-ln.65111 loh-v ,A?ub_-!ilHTTp.A5px,:pjix1nfiJTTW-rfiCOfcLo9i;rdnun-u.?$ft4丄870 http (Svn) Seq-& wlrOW35 Ln-0 NSS-WCOhttp ： SttH) ACU1 Mln-103M Ln-0 NSS-13904b26 nttp LM,j Sfiq-1巧 LfirMQKtaip-?Piqa-hTT|3Qrx2r*0.cy5Ofl.nfit.crA2ffi*pCfCiC*TAl. A5p MTTP/1.1tcpof 4 roissfiftjlad pduHTTPA.l 401 XviX

10、hor1ri (text.-VnfiV402 http (ACX) Seq-B92 acV-14 wm-055M Len-0M http LACK Seq-?461LEOhtxp 462$ CAO 2fia-426 M73 Wr64 74S LfifrO4= b.7420331O.5.H.2Z丄 553*.?http. 45p-riQQrTXfXQrK2r4fc p.rtyjOTX .n. cr2Tc4 pfpcrxai iip. MTTP/11 . L、 ，iTFrjn* 1 0? bytw on vire. 02 byt captured)詩 Eherojt 11, Src: EMtegr

11、o-9f ;6C：CS (00；le:90：9f ：6C：C) D穴；C1SCQ3】：2SB a0：2O：g：n：20：E ifrtfirrrtt Pf&Tit Port: http le 9u ?r ix c8 u? w 4 uu .6.1 . 00 30 05 62 f2 3 OS 3 lb Od OS .Cv.d.O m：* xraiIti 刑鍬歇世機(jī). |T亠-：a DijrU；血a中巳 0 | 4： mw與視11* iDou彳二磁.|a工事 |回*.|也1|(4仇 pg. | 仔 | 剪 | “| | 鳥 多O。513分析TCP三次握手連接建立過程在TCP地前三次通信，就完成了連接建

12、立過程，我們詳細(xì)看看這個(gè)過程.10.0000007TCP4623 http SYN Seq=O Win=65535Len=0 MSS=146020.020617TCPhttp 4623 SYN, ACK Seq=O Ack=lWin=16384 Len=0 MSS=138030.0206577TCP4623 http ACK Seq=l Ack=l Win=65535 Len=0第一步：客戶端(IP： 7,port： 4623)向服務(wù)器發(fā)(IP： ,

13、port； 80)發(fā)起連 接建立請求,并發(fā)送了一個(gè)數(shù)據(jù)包，問服務(wù)器收到?jīng)]有.4623 http SYN1 Seq=0 Win=65535 Len=0 MSS=1460Seq=0：消息順序號.(為0 般是建立連接時(shí)用地，即是第一個(gè)請求)Win=65535,接收窗口大小為65535.(這是我地機(jī)器tcp地接收數(shù)據(jù)地窗口大小,可以看 到與服務(wù)器端地大小是不一樣地，服務(wù)器端地大小是Win=16384)豹：窗口作用：嚴(yán)格限制已經(jīng)發(fā)出去而未被確認(rèn)收到地?cái)?shù)據(jù)幀地個(gè)數(shù)只有在接受窗口 向前移動(dòng)時(shí)，發(fā)送窗口才能向前移動(dòng).豹：當(dāng)發(fā)送方地?cái)?shù)據(jù)大于接收方窗口地?cái)?shù)據(jù)時(shí)，接收方需要告訴發(fā)送方自己地窗口大小.第二步：服務(wù)器接

14、收到這個(gè)請求后，告訴客戶端我收到你地消息了,我給你發(fā)一個(gè)消息, 看看你能收到不.http 4623 SYN, ACK Seq=O Ack=2 Win=16384 Len=O MSS=1380Ack,這是一個(gè)向前確認(rèn)地機(jī)制，表示請發(fā)送序號1地消息過來吧，意思是序號為1之前 地消息已經(jīng)收到了.第三步：客戶端告訴服務(wù)器，你地消息我收到了，我們之前地通信是暢通地.因?yàn)檫@是發(fā) 送地第二個(gè)消息了所以seq=l.4623 http ACK Seq=l Ack=l Win=65535 Len=O經(jīng)過這些步驟，我地IE與EKP所在服務(wù)器地連接就建立了.豹：具體點(diǎn)說就是7:4623與10.5.3

15、4.2:80地tcp連接已經(jīng)建立了.豹：仔細(xì)分析所有數(shù)據(jù)包后，你會(huì)發(fā)現(xiàn)IE在只打開EKP主頁地情況下，同時(shí)與EKP服務(wù) 器建立了 9個(gè)連接.這個(gè)連接數(shù)是驚人了.因?yàn)閔ttp協(xié)議本身對客戶端到同一個(gè)網(wǎng)站（貝 實(shí)是完全域名）地連接數(shù)是有限制要求地，即不要超過2個(gè).我地客戶端環(huán)境是 Win2003+IE8,是遵守了這個(gè)要求地.那也就是說，獲取我們EKP首頁資源,至少涉及到了 5 個(gè)域名.豹：從對后續(xù)具體http通信地過程分析，你會(huì)發(fā)現(xiàn),不同連接之間地?cái)?shù)據(jù)發(fā)送是完全獨(dú) 立地，即IE不會(huì)協(xié)調(diào)不同連接之前請求地依賴性.所以，如果我們系統(tǒng)存在依賴于不同域 名地頁而資源下載時(shí)，必須通過代碼來保證這種依賴地可靠

16、.1.4分析連接建立過程后http通信過程1.4.1正常通信-iOjxMUrLXOUfcMim2.一 A.： OZMMWTJTIXT”XV. /10.5.U-27.0：3 : gunIV. 5. 24.； xm：T1&.3.U.2710.5.M.： u?aww 21V.5.U.2? 10.5.U.2Z.&.5.U. j MM2 34、億10.5.11 ISS.U”.27.rU4 .105.iLV.5.U.i?曰1O5O7SIC.5.11.57.AOMul V 2 *IP.9. M#：L0. * .1.：rWHP HTTPLV.i.UIC.5

17、.U1&.5.1Z丫.17IV. 5.2Krrr.Ui .:s也XP.5.U.J7LO.3.3MT” ：vw,)11$無lo.j.n.:rS.6G J.11.27zr .27,!|q：t /cnociz:ncc:TmwrvfEcrntvjscT： mttp/x,i _jrcr rjiem if a rets?-5nt)ij 咖！ gpcr a rcaitwoicd PUjJ:， Mtp(9)久Mbi*0 (rcr sesa cr a riisc co owl4432 http ACM ssAS ax.i7U1*4ET,HE WJ mgtn-&, 乂 A_IMW，i：|

18、:c-. A：-l-1-oW Ltn-v443 trttp fg Z S e.如 sion /sgr6cS/pg、c-S8 HTTP A. 1rip/i.x jo* wn *nfUtJorr /jomxvscrw仇”gic3)2xrv/l.A 13 H31和*d4-2： nttp 心金2? Ad,30 小L6-0：, ntxp Itm MtrO “伽0$, LS0 M?5-14to4*2 mxo UtKsj父IEDhttp http) QX 4zk-l rn-仍刃S L4ZWJTMrrp/1.14tu 初 g artni j7? 6 7MQ ra o.n?：4c29 o. m刃 勿 *3.15

19、1IO.5.U.37IP.9.U.27 LO.9.U.3K i(-.5.?4.2w 1010a.ms5 M.：5.11.27HTTP HTTFn a EG2.S. 11.；710i.U.357 0.6MM110.,.：xoi.U.2755 6KWW ?4 0fc!974$LO.Mi.zrW.5.H.2?1010,34.：5.勺.2wrrrii QH7 ” 6 3 =M.S.X:10.9.M.210103.U.275.n.?rEP:M7105 4 ：?105.?x.2i* as,. n.5.U.J74? V WSLO.5.34.210S.ll.MHTTP4i Q.TdS3.H1

20、0S.U.27MTrp. -4 一 1 紉 C7X0 “0Ix/Xxn.eiiwyo-! oni“X hxtp rxxACI.39& 5eCU) tn http IFJh. K j :G Dkm-0MTTFA.l 20) http rnj “X dnCSS35 ；n.c M；UUCO http L5b, *： :E0 ：-l cp84 l.n-0 M5I-1JW nxto (AO-) Miri *0-1 gr細(xì)/，、拓【9 Itsm cr a r4at:icd pij MTTVA.l 401 .一 ：_:“：e nxi 9), L5l 4 hrro tix) ?Q.：461(/ ：ehttp

21、4Q2?心】“*420 W：S 5cS】Ld.A?T.GfHrA2fp:ird1.0 Knr/1.1i.p *TTv.a.i .KF 5 Mi cm cf I want) *w MFIPA.i 4g truUttKPlMd MTlMMP_CH*UXMX X 、 *ZJp IfWW ex如.V 10.5.U.? 14 5U2乃 W 1.5.M.J 14S”d)、y勿刃a cxa)1 ksocol 沁 ru： wt co： Mxc (. %r；父 *：H X63?推“習(xí)笄心VI wigdcb匕QamoiBl 話器気爼r(shí)e! x 稔Mggn 特參馮W誇 第為您盤KQE 需？：3釜腐喊 sJh?:rr

22、nu cwtwui9 上 乂 第一個(gè)紅框內(nèi)容：請求GET /ekp/portal.aspx HTTP/1.1,因?yàn)橛芯彺?服務(wù)器直接就返回了 302, HTTP HTTP/1.1 302 Found (text/html)第二個(gè)紅框內(nèi)容：請求了一個(gè)/checkkey.aspx?xxx,這個(gè)頁而，因?yàn)榉祷貎?nèi)容比較尢進(jìn)行了 tcp segment地一 些拆分和封裝.可以看到，在一個(gè)tcp連接上地請求之間，http請求地順序就是接收地順序.1.4.2丟包重傳當(dāng)服務(wù)器發(fā)送了數(shù)據(jù)包，但沒有在指上時(shí)間內(nèi)收到客戶端確認(rèn)信息時(shí)，會(huì)要求客戶端再 次確認(rèn).豹：丟包重傳現(xiàn)象比較正常，只要在一個(gè)比較小地比例內(nèi)都是沒有

23、問題地.1.5連接關(guān)閉連接關(guān)閉分為正常關(guān)閉和非正常關(guān)閉正常關(guān)閉需要在http報(bào)頭頭添加相關(guān)報(bào)頭，需要 4次來回通信來確認(rèn).一般情況下非正常關(guān)閉居多，比如你關(guān)閉掉IE.此時(shí)客戶端發(fā)一個(gè)重麗tcp地請求給服務(wù)器，服務(wù)器就會(huì)關(guān)閉掉相應(yīng)連接.4623 http RST, ACK Seq=12848 Ack=64028 Win=O Len=O1.6 WireShark使用總結(jié)我們主要使用該工具來幫助我們了解TCR以及基于TCP地HTTP協(xié)議工作地真實(shí)過程. 在實(shí)際工作中，一般不會(huì)用到這么底層地協(xié)議工具，只需要使用http協(xié)議抓包工具即可.2.使用Http Analyzer分析訪問EKP首頁通信過程2.1

24、實(shí)驗(yàn)?zāi)康叵Ｍ?大家掌握HttpAnylyzer地使用2通過實(shí)際地http抓包,加深對http協(xié)議通信過程地了解3希望大家能夠掌握排査Web前端開發(fā)疑難問題地一些思路.2.2分析典型通信過程身份驗(yàn)證過程：1 NOCwTITuRl1VCG?4?Qt?ar3tesnM 陽 01林 r20M)tGerxo rl* S-awa： a lie arGtrXHXMxnt 6 卩cmr 詐齊(iW* p eg ntt 3 _fiartrr就ek4P9s-*itpt)lX2lMkp MyMit mA c._JII9TTWTF77WITi0和Bn-wr2W-rwr111K_r司用a厲匠吋&:牙祠in亦i弼?ry

25、1 兩mzQKkp匕11a環(huán)2OT34H11缺rw#am.XXT?.te315?50?5XXUaw3W庇WSEW 3力15aitsXXd 3 ttje1CQltSsXH腫riMpZWfJizx*? hVOIS3W炎MrWrmv* net cmmsSe n ewawi3W%let*伸 w19門翊畑am.購wv6宅爐入弼 dXb Z 旳*仞：QQH2x1WK切m 6爐9(1皿 Jd5dM*?6 & M A= dEQtin1TWMI22am 3202H他22T?的刃193arc*143KArdPAZOWMS日卅卅牧報(bào)體nCWOMM 玄 1 翊01 材 JIVWM2J2awn妙516m妙QK311SC

26、82ttfSCBKrWFg7cati4ffc6d% 加舲世刀 iR d oiTviF1 c.t Vj 5r4 Filur Tl Hdp亍 $ JI。P 劉冷 ifFr4 jDXV- V Q 丫妙 f 金hlBexs Hde-UfcrudAcH3 -“曲 /, HQ-w Hrrv： 1rMQig GlQlga ebRx 咖er w、scgv代沁匕如&rUx、Wxx“Q r-.pxasc.zic S4Z TSm130:WKC4n1 兀a4CQ xgwzdssopr, gk& 如xa WWWAube*KRMX Fornax* OrA9M：rAoei4 l4O9rnxnOalHUggE他 WSXi:

27、M5E g *Yt*ern3J; rx“s)xw 11圧ro wsog /4i/。0缶521血；“幼狗Acc8,Hartlric5F Yc*t. r xnC4cCt r*t 4*2Ca 2 J J JRW. s，,”2 p | $w| $UMCfcDt4rti0n|23創(chuàng)祝I 二oh 彳二阪I a工憶liffl*|fllmEAl，m.|抄啦 1 .號需|空甌g秦沁 | S3 O鄉(xiāng)0丿在第7,8,9個(gè)http請求時(shí)，服務(wù)器完成了這個(gè)身份驗(yàn)證過程.這個(gè)過程對用戶來說是透明 地，即用戶并不知道.但對工具來說，可以看到對同一個(gè)資源請求了三次.這里面地原因就是服 務(wù)端與客戶端有一個(gè)關(guān)于身份地交互細(xì)節(jié).豹：NTLM地驗(yàn)證情況在不同地Windows網(wǎng)絡(luò)環(huán)境下是不同地，有很多情況，教為復(fù)雜. 沒有必要都搞淸楚我這里只解釋我們系統(tǒng)地這個(gè)過程.1客戶端申請一個(gè)頁而2服務(wù)端告訴客