wireshark应用层抓包分析

Wireshark 抓包分析 CONTENT 引言 1 利用 wireshark 抓取网页服务协议并分析 1 1 HTTP 协议报文结构及分析 1 2 HTTPS 是什么 1 3 HTTP 与 HTTPS 的比较 1 4 分别在网络空闲与网络繁忙时比较相关报文传送的区别 2 利用 wireshark 抓取邮件传输协议并分析 2 1 SMTP 邮件发送协议的结构 2 2 POP3 与 IMAP 协议结构的区别 2 3 网页版收发邮件与邮件客户端收发时使用协议的比较 3 利用 wireshark 抓取 ftp 文件传输协议 3 1 ftp 协议的格式及特点分析 4 分析 DNS 的解析过程 4 1 域名解析实例分析 4 2 www gatech edu 域名解析实例分析 Ps 之前在写目录的时候觉得这样来分析分析会对应用层协议的理解更加全面 一点 但是基于各种原因只是完成了黑色字体部分 而且还可能存在很多错误 有机会可以进一步完善 引言 经过计算机网络基础前面时间的学习 使我们对网络应用层的协议有了一 定的了解 协议就像一门语言 需要定义语法 语意和语序 时序 同步 语 法即为协议的具体格式 语意定义了具体格式中具体指代 比如说 空一行后 的数据表示为数据字段 就目前说掌握的只是而言 我对语序的理解还不是很 清楚 这里就不加赘述 下面将主要从应用层的协议出发 利用我们所学习过的知识 对不同的应 用请求响应过程进行分析 探究在不同网络工作环境下网络协议的变化 本次抓包分析的环境为 IE9 浏览器 使用 wireshark 的版本为 32 位第 1 4 9 版 1 利用 wireshark 抓取网页服务协议并分析 1 1 HTTP 协议报文结构及分析 首先清空 IE 浏览器的缓存 cookie 等信息 并运行 wireshark 输入 后得到抓包文件如图 1 所示 图 1 后得到抓包数据 第 1 行的 SSDP 协议也是应用层的协议 大致意思就是用来申明自己的存在 从在 No 14 时用户向服务器 web 缓存 发起 360 云盘的网页请求 在 No 25 时用户想 360 云盘的服务器直接发起请求 说明在此之前 web 缓存已将 360 云 盘服务器的地址信息转发给用户 同时此后的通信双方为用户与 360 云盘服务 器 并没有经过 web 缓存 说明实际 web 缓存的作用并不像我们所学习的那样 web 缓存要缓存小区域内说用用户请求过的网页文件 并在超时时才给以 删除 在 No 25 时 用户向服务器发起网页请求 同时在 No 32 时服务器向用 户返回请求的信息 html 即基本的网页文件 此后 用户发应用文件的申请 No 34 35 中用户发起的申请并为按照次序返回给用户 而是 No 35 的请求先 到达 No 34 后到 但是用户却没有再次发出请求报文 说明定时器还没有超 时 并且两个响应报文可能走了不同的路由路径 图 2 TCP out of order 在 No 135 时 出现了陌生地址发送来的 HTTP 报文 该报文采用的是 HTTP1 0 协议 可见 HTTP1 0 与 HTTP1 1 监听的端口都是 80 HTTP 报文的传 输层协议是 TCP 协议 采用 IP 地址以及端口号同时建立一对一的连接关系 接收到陌生地址报文的原因或许是 360 云盘的网页上引用了其他服务器的信息 但更多的可能是报文地址出错 错发到这里了 图 3 同样也是第三方的服务器地址 No 364 时 又是出现了第三方的服务器地址 并没有出现图 2 中 TCP 乱序 的说法 因此此处的第三方服务器更像是 360 云盘网页上引用的其他服务器的 信息 1 2 HTTPS 协议报文结构及分析 当我们在使用网盘的时候 比如说酷盘 不难发现它使用的 URL 是以 https 开头的协议而不是我们所熟知的 http 协议 想必这二者之间必定存在一定 联系 但是又有一定区别 下面就利用 wireshark 抓的酷盘登陆时的数据包来探 究上述二者的异同 百度百科中对 HTTPS 即安全超文本传输协议是 HTTPS 又称 S HTTP 是 一种结合 HTTP 而设计的消息的安全通信协议 S HTTP 协议为 HTTP 客户机 和服务器提供了多种安全机制 这些安全服务选项是适用于 Web 上各类用户的 还为客户机和服务器提供了对称能力 同时维持 HTTP 的通信模型和实施特征 S HTTP 不需要客户方的公用密钥证明 但它支持对称密钥的操作模式 这意味着在没有要求用户个人建立公用密钥的情况下 会自发地发生私人交易 它支持端对端安全传输 客户机可能首先启动安全传输 使用报头的信息 用 来支持加密技术 在语法上 S HTTP 报文与 HTTP 相同 由请求行或状态行组成 后面是 信头和主体 请求报文的格式由请求行 通用信息头 请求头 实体头 信息 主体组成 相应报文由响应行 通用信息头 响应头 实体头 信息主体组成 以上解释并没有十分透彻的说明 HTTP 与 HTTPS 到底有没有关系 如果有 又是什么关系 下面直接通过酷盘网页登录的数据包情况直接分析 看是否能 够对 HTTPS 有所了解 图 4 酷盘 从图 4 不难发现 酷盘 几乎没有相似之处 此前认为 https 协议仍是类似于 http 协议一样的网页文件传 输协议 但是从抓包的结果来看 太令人失望了 在数据包的前段部分我们没 有看见一点网页文件的影子 取而代之的是一大片 TCP 协议建立连接的请求与 响应报文 还算令人欣慰的是 在 No 11 13 17 18 的 TCP 报文后出现了 https 字样 由此可以基本推测出来 HTTPS 并不是应用层的协议 而是传输层 可能是 TCP 向上到 HTTP 协议的一个有点类似于套接字的某个东西 令我很不 解的一点就是 原本请求的是一个网页文件 但是抓到的数据包中没有网页文 件的请求以及相应报文 全部是 TCP TLSv1 DNS 以及 SSDP 协议 1 3 HTTP 与 HTTPS 的比较 与没有看过数据包之前的想法大相径庭 HTTPS 并不是应用层协议 与 HTTP 也没有什么直接的关系 百度上所说的 S HPPT 为 HTTP 提供安全的运行 环境 估计就是从传输层的角度出发来讲的 即提供更为可靠的传输层向上的 借口 实践告诉我们并不能想当然的认为一个命题成立 必须经过有理有据才能 下推断 猜想是可以的 但是必须验证 就像 HTTPS 与 HTTP 一样 要不然到 现在仍然会认为 HTTPS 与 HTTP 必然有某种联系 1 4 分别在网络空闲与网络繁忙时比较相关报文传送的区别 图 5 网络繁忙时的响应以及请求报文 图 6 网络空闲时的响应以及请求报文 图 5 中 No 467 469 476 的报文都出现了丢包现象 而图 6 中的报文接收 与请求都十分流畅 综上 通过对 HTTP 网页请求服务抓包信息的观察以及分析以后 了解了 HTTP 请求以及相应报文的基本信息 以及 WEB 缓存的实际作用 同时也明白 了报文的层次包裹结构 4 分析 DNS 的解析过程 4 1 域名解析实例分析 图 7 域名解析 从 No 6 开始用户向服务器 web 缓存发起域名解析请求 不清楚为什么是 google 的域名开始 但是服务器向用户返回一个地址后 用户后面域名解析的 请求直接向该地址的服务器发起 在 No 42 时 用户输入 的 请求 服务器直接响应了地址给用户 由此可见用户到服务器的地址查询请求 的算法为循环算法 而服务器向上解析的过程采用何种算法在这里我们就不得 而知了 上述的域名解析是关于国内的一个网址进行的 那么对于国外网址的解析 又会有什么不同 下面就应用 wireshark 对乔治亚理工学院网址解析时的抓包数 据进行分析 4 2 www gatech edu 域名解析实例分析 图 8 www gatech edu 域名解析 与图 7 中的信息类似 用户首先向 IP 为 202 112 14 151 的服务器发起域名 解析请求 大约一个单位时间过后用户又向 IP 为 61 139 2 69 的服务器发起域 名解析请求 一定时间过后 两个服务器都返回了相同的 IP 地址给用户 就用 户发起请求后的等待响应的时间来看 IP 为 61 139 2 69 的服务器能够更快的响 应用户 图 7 中可以看出在用户与 IP 为 61 139 2 69 的服务器建立连接后 用 户的域名解析请求全部又该服务器完成 IP 为 202 112 14 151 的服务器不在参 与与用户之间的通信 然而图 8 中可以看出 两个域名解析服务器均在于用户 通信 并且通信的主体服务器为 IP 为 202 112 14 151 的服务器 那么学校为什 么要用两台服务器完成域名解析的功能 结合前面 HTTP 网页文件请求的直接相应服务器与域名解析的直接响应服 务器 IP 地址的不同可以看出 二者不是同一服务器 也就是说 web 缓存很可 能只是起到中转站的作用 从而 web 缓存上的网络流量压力就不会太大 小结 上述许多推理都是基于个人的推断 但究竟是否正确还有待确认 通过 wireshark 的抓包分析 加深了我对网络的建立连立 请求以及响应的过程 比 书本上的知识更加能够然人明白实际到底是怎么进行的 同时也纠正了我对于 http 和 https 的误区