局域網(wǎng)的數(shù)據(jù)包監(jiān)聽及數(shù)據(jù)分析畢業(yè)設計.doc

精品文檔河南工業(yè)職業(yè)技術學院畢業(yè)設計任務書類別： 三年制高職 專 業(yè)：計算機網(wǎng)絡技術 班 級: 網(wǎng)絡 姓 名： 托爾 畢業(yè)設計題目： 局域網(wǎng)的數(shù)據(jù)包監(jiān)聽及數(shù)據(jù)分析 指導教師及聯(lián)系方式： 負責人簽字： 年 月 日39歡迎下載39歡迎下載。設計任務及要求： 1、認真學習sinffer的使用方法。 2、使用sinffer抓出ftp、http、mail等服務工作數(shù)據(jù)包。 3、分析收集到的數(shù)據(jù)包的結(jié)構，描述出上述協(xié)議的工作過程，寫出分析報告 4、用java語言編寫文件傳送的應用程序 應完成的硬件或軟件實驗： 1、分析ftp、http、mail的數(shù)據(jù)包的結(jié)構 2、 java語言編寫文件傳送的應用程序 應交出的設計文件及實物(包括設計論文、程序清單或磁盤、實驗裝置或產(chǎn)品等)： 1、設計論文 2、文件傳送的應用程序 指導教師（簽字）： 年 月 日摘要Internet 是20世紀最偉大的發(fā)明之一，它將全世界數(shù)以萬計的計算機設備連接成一個巨大的網(wǎng)絡，并使它們能在彼此之間迅速方便的傳輸信息，整個世界好像突然變小了，改變整個世界的不只是Internet本身，還有無法計數(shù)的構筑在其上的TCP/IP協(xié)議簇的體系結(jié)構及各層組成協(xié)議的工作機制。通過電子郵件，信件的往來不再需要幾天甚至幾周了，WWW通過Web頁面容合了文本，圖像，聲音，和視頻等多種信息，給人類帶來了豐富多彩的網(wǎng)絡世界。文件的共享已不再困難，F(xiàn)TP的出現(xiàn)，促進文件的共享；間接或隱式地使用遠程計算機；使不同的文件存儲系統(tǒng)對用戶來講是透明的，因此本文主要闡述了目前網(wǎng)絡所使用的網(wǎng)絡應用Email ,HTTP,FTP等協(xié)議工作原理，做了簡單的介紹，并對最廣泛的監(jiān)聽工具sniffer做了簡單的概述?！娟P鍵詞】 網(wǎng)絡協(xié)議 Sniffer_pro 協(xié)議分析 HTTP FTP 引 言 目前，網(wǎng)絡的速度發(fā)展非?？?，學習網(wǎng)絡的人也越來越多，稍有網(wǎng)絡常識的人都知道TCP/IP協(xié)議是網(wǎng)絡的基礎，是Internet的語言，可以說沒有TCP/IP協(xié)議就沒有互聯(lián)網(wǎng)的今天。目前號稱搞網(wǎng)的人非常多，許多人就是從一把夾線鉗，一個測線器聯(lián)網(wǎng)開始接觸網(wǎng)絡的，如果只是聯(lián)網(wǎng)玩玩，知道幾個Ping之類的命令就行了，如果想在網(wǎng)絡上有更多的發(fā)展不管是黑道還是紅道，必須要把TCP/IP協(xié)議搞的非常明白。 正如Internet的核心TCP/IP協(xié)議的目標所指出的，任何人都可以方便地使用Internet，并在其上開發(fā)出新的應用。當然，要開發(fā)基于Internet上的應用必須先知道它是如何工作的，即它是如何將各種各樣不同的設備連接起來的，如何將數(shù)據(jù)從一個計算機設備傳輸?shù)搅硪粋€的過程，是如何支持各種各樣的應用軟件的。當然，如果你的 工作不需要知道這些，如果你對此不感興趣，那就無所謂了，但如果想對網(wǎng)絡有更深的了解，那就必須對網(wǎng)絡協(xié)議的工作原理有更加深刻的認識，和了解。這樣將對你的職業(yè)生涯有更大的幫助，司機雖然不用生產(chǎn)自己開店汽車，但一個好司機應該知道汽車的工作原理。同樣網(wǎng)絡軟件開發(fā)人員不用自己設計通訊網(wǎng)絡的軟件，但應該知道網(wǎng)絡協(xié)議的工作原理和機制，這樣才能開發(fā)正確,穩(wěn)定,高效的網(wǎng)絡軟件。地址郵件是Internet上的最早的應用之一，由于電子郵件與傳統(tǒng)的郵件相比具有傳輸速度快速，風雨無阻的優(yōu)點，同時又不像電話那樣需要通信雙方同時在場，因此，電子郵件應用出現(xiàn)后發(fā)展迅速，目前已成為Internet上最流行的應用之一。WWW因為采用了圖像用戶界面，在Web頁面中融合了文本，圖像，聲音，和視頻等多媒體信息，給網(wǎng)絡帶來了豐富多彩的網(wǎng)絡生活，因此，受到了廣泛的歡迎。FTP文件傳輸協(xié)議因為具有：促進文件的共享；鼓勵間接地或隱式的來使用遠程計算機；使得不同主機的不同文件存儲系統(tǒng)對用戶來講是透明的；高效可靠的傳輸數(shù)據(jù)，也受到了Internet用戶的喜愛。學習過TCP/IP協(xié)議的人多有一種感覺，這東西太抽象了，沒有什么數(shù)據(jù)實例，看完不久就忘了。本論文將介紹利用協(xié)議分析工具學習TCP/IP協(xié)議簇中最常用的Email,FTP,HTTP等協(xié)議，在學習的過程中能直觀的看到數(shù)據(jù)的具體傳輸過程，及工作原理。 第一章 Internet 概述1.1 Internet的定義在英語中“Inter”的含義是“互動的”，“net”是指“網(wǎng)絡”。簡單而言，Internet是指一個由計算機構成的交互網(wǎng)絡。它是全球數(shù)萬個計算機網(wǎng)絡，數(shù)千臺計算機連接起來，包含了難以計數(shù)的信息資源，向全世界提供信息服務。它的出現(xiàn)，是世界由工業(yè)化走向信息化的必然和象征。從網(wǎng)絡通信角度來看，Internet是一個以TCP/IP網(wǎng)絡協(xié)議連接各個國家，各個地區(qū)，各個機構的計算機網(wǎng)絡的數(shù)據(jù)通信網(wǎng)。從信息角度來看，Internet是一個集各個部門，各個領域的各種信息資源為一體，供網(wǎng)上用戶共享的信息資源網(wǎng)。1.2 Internet 協(xié)議 Internet的是實質(zhì)是實現(xiàn)異種網(wǎng)絡的互聯(lián)，它充分利用各種通信子網(wǎng)的數(shù)據(jù)傳輸能力，通過在依賴于通信子網(wǎng)的通信模塊和應用程序之間插入新的協(xié)議軟件來保證應用程序之間的互操作性。因特網(wǎng)協(xié)議簇稱為 TCP/IP 協(xié)議簇。其中包含了為數(shù)重多的協(xié)議，應用層的 Telnet, FTP, HTTP, SMTP,DNS等協(xié)議,傳輸層TCP, UDP協(xié)議，網(wǎng)絡層的IP, ARP,RARP,ICMP,IGMP等協(xié)議。 1.2 Internet 應用現(xiàn)狀與發(fā)展趨勢 從目前的情況來看，Internet市場仍具有巨大的發(fā)展?jié)摿Γ磥砥鋺脤⒑w從辦公室共享信息到市場營銷，服務等廣泛領域。另外，Internet帶來的電子貿(mào)易正改變著現(xiàn)今商業(yè)活動的傳統(tǒng)模式，其提供的方便而廣泛的互聯(lián)必將對未來社會的各個方面帶來的影響。 隨著世界各國信息高速公路計劃的實施，Internet主干網(wǎng)的通信速度將大幅度提高；有線，無線等多種通信方式將更加廣泛，有效地融為一體；internet的商業(yè)應用的范圍也將不斷擴大；Internet的覆蓋范圍，用戶入網(wǎng)數(shù)以令人難以令人難以置信的速度發(fā)展；網(wǎng)絡資源急劇膨脹?？傊祟惿鐣貙⒏右蕾嘔nternet，人們的生活方式將因此而發(fā)生根本的改變。第二章 TCP/IP協(xié)議TCP/IP（Transmission Control Protocol /Internet Protocol)的簡寫，中文譯名為傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議，又叫網(wǎng)絡通訊協(xié)議，這個協(xié)議是Internet最基本的協(xié)議、Internet國際互聯(lián)網(wǎng)絡的基礎，簡單地說，就是由網(wǎng)絡層的IP協(xié)議和傳輸層的TCP協(xié)議組成的。2.1 TCP/IP協(xié)議的發(fā)展背景1975年，兩個網(wǎng)絡之間的TCP/IP通信在斯坦福和倫敦大學（UCL）之間進行了測試。1977年11月，三個網(wǎng)絡之間的TCP/IP測試在美國、英國和挪威之間進行。在1978年到1983年間，其他一些TCP/IP原型在多個研究中心之間開發(fā)出來。ARPANET完全轉(zhuǎn)換到TCP/IP在1983年1月1日發(fā)生。1997年，為了褒獎對因特網(wǎng)發(fā)展作出突出貢獻的科學家，并對TCP/IP協(xié)議作出充分肯定，美國授予為因特網(wǎng)發(fā)明和定義TCP/IP協(xié)議的文頓瑟夫和卡恩“國家技術金獎”。這無疑使人們認識到TCP/IP協(xié)議的重要性。2.2 TCP/IP協(xié)議的定義TCP/IP 是供已連接因特網(wǎng)的計算機進行通信的通信協(xié)議。定義了電子設備（比如計算機）如何連入因特網(wǎng)，以及數(shù)據(jù)如何在它們之間傳輸?shù)臉藴?。TCP/IP是一個兩層的程序。高層為傳輸控制協(xié)議，它負責聚集信息或把文件拆分成更小的包。這些包通過網(wǎng)絡傳送到接收端的TCP層，接收端的TCP層把包還原為原始文件。低層是網(wǎng)際協(xié)議，它處理每個包的地址部分，使這些包正確的到達目的地。網(wǎng)絡上的網(wǎng)關計算機根據(jù)信息的地址來進行路由選擇。即使來自同一文件的分包路由也有可能不同，但最后會在目的地匯合。 TCP/IP通信是點對點的。TCP/IP與上層應用程序之間可以說是“沒有國籍的”，因為每個客戶請求都被看做是與上一個請求無關的。正是它們之間的“無國籍的”釋放了網(wǎng)絡路徑，才是每個人都可以連續(xù)不斷的使用網(wǎng)絡。 許多用戶熟悉使用TCP/IP協(xié)議的高層應用協(xié)議。包括萬維網(wǎng)的超文本傳輸協(xié)議（HTTP），文件傳輸協(xié)議（FTP），遠程網(wǎng)絡訪問協(xié)議(Telnet)和簡單郵件傳輸協(xié)議（SMTP）。這些協(xié)議通常和TCP/IP協(xié)議打包在一起。 使用模擬電話調(diào)制解調(diào)器連接網(wǎng)絡的個人電腦通常是使用串行線路接口協(xié)議（SLIP）和點對點協(xié)議（P2P）。這些協(xié)議壓縮IP包后通過撥號電話線發(fā)送到對方的調(diào)制解調(diào)器中。 有TCP/IP協(xié)議相關的協(xié)議還包括用戶數(shù)據(jù)報協(xié)議（UDP），它代替TCP/IP協(xié)議來達到特殊的目的。其他協(xié)議是網(wǎng)絡主機用來交換路由信息的，包括Internet控制信息協(xié)議（ICMP），內(nèi)部網(wǎng)關協(xié)議（IGP），外部網(wǎng)關協(xié)議（EGP），邊界網(wǎng)關協(xié)議（BGP）。2.3 TCP/IP協(xié)議的參考模型TCP/IP協(xié)議并不完全符合OSI的七層參考模型。傳統(tǒng)的開放式系統(tǒng)互連參考模型，是一種通信協(xié)議的7層抽象的參考模型,其中每一層執(zhí)行某一特定任務。該模型的目的是使各種硬件在相同的層次上相互通信。這7層是:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層和應用層。而TCP/IP通訊協(xié)議采用了4層的層級結(jié)構，每一層都呼叫它的下一層所提供的網(wǎng)絡來完成自己的需求。這4層分別為： 應用層：應用程序間溝通的層，如簡單電子郵件傳輸（SMTP）、文件傳輸協(xié)議（FTP）、網(wǎng)絡遠程訪問協(xié)議（Telnet）等。 傳輸層：在此層中，它提供了節(jié)點間的數(shù)據(jù)傳送，應用程序之間的通信服務，主要功能是數(shù)據(jù)格式化、數(shù)據(jù)確認和丟失重傳等。如傳輸控制協(xié)議（TCP）、用戶數(shù)據(jù)報協(xié)議（UDP）等，TCP和UDP給數(shù)據(jù)包加入傳輸數(shù)據(jù)并把它傳輸?shù)较乱粚又?，這一層負責傳送數(shù)據(jù)，并且確定數(shù)據(jù)已被送達并接收。 互連網(wǎng)絡層：負責提供基本的數(shù)據(jù)封包傳送功能，讓每一塊數(shù)據(jù)包都能夠到達目的主機（但不檢查是否被正確接收），如網(wǎng)際協(xié)議（IP）。 網(wǎng)絡接口層（主機-網(wǎng)絡層）：接收IP數(shù)據(jù)報并進行傳輸，從網(wǎng)絡上接收物理幀，抽取IP數(shù)據(jù)報轉(zhuǎn)交給下一層，對實際的網(wǎng)絡媒體的管理，定義如何使用實際網(wǎng)絡（如Ethernet、Serial Line等）來傳送數(shù)據(jù)。在源主機上，應用層將一串應用數(shù)據(jù)流傳送給傳輸層。傳輸層將應用層的數(shù)據(jù)流截成分組，并加上TCP報頭形成TCP段，送交網(wǎng)絡層。在網(wǎng)絡層給TCP段加上包括源、目的主機IP地址的IP報頭，生成一個IP數(shù)據(jù)包，并將IP數(shù)據(jù)包送交鏈路層。鏈路層在其MAC幀的數(shù)據(jù)部分裝上IP數(shù)據(jù)包，再加上源、目的主機的MAC地址和幀頭，并根據(jù)其目的MAC地址，將MAC幀發(fā)往目的主機或IP路由器。在目的主機，鏈路層將MAC幀的幀頭去掉，并將IP數(shù)據(jù)包送交網(wǎng)絡層。網(wǎng)絡層檢查IP報頭，如果報頭中校驗和與計算結(jié)果不一致，則丟棄該IP數(shù)據(jù)包；若校驗和與計算結(jié)果一致，則去掉IP報頭，將TCP段送交傳輸層。傳輸層檢查順序號，判斷是否是正確的TCP分組，然后檢查TCP報頭數(shù)據(jù)。若正確，則向源主機發(fā)確認信息；若不正確或丟包，則向源主機要求重發(fā)信息。在目的主機，傳輸層去掉TCP報頭，將排好順序的分組組成應用數(shù)據(jù)流送給應用程序。這樣目的主機接收到的來自源主機的字節(jié)流，就像是直接接收來自源主機的字節(jié)流一樣。第三章sniffer簡介 3.1sniffer軟件簡介 Sniffer軟件是NAI公司推出的功能強大的協(xié)議分析軟件。本文針對用Sniffer Pro網(wǎng)絡分析器進行故障解決。利用Sniffer Pro 網(wǎng)絡分析器的強大功能和特征，解決網(wǎng)絡問題，將介紹一套合理的故障解決方法。與Netxray比較，Sniffer支持的協(xié)議更豐富，例如PPPOE協(xié)議等在Netxray并不支持，在Sniffer上能夠進行快速解碼分析。Netxray不能在Windows 2000和Windows XP上正常運行，Sniffer Pro 4.6可以運行在各種Windows平臺上。Sniffer軟件比較大，運行時需要的計算機內(nèi)存比較大，否則運行比較慢，這也是它與Netxray相比的一個缺點。3.2 Sniffer 工作原理 首先，要知道SNIFFER要捕獲的東西必須是要物理信號能收到的報文信息。顯然只要通知網(wǎng)卡接收其收到的所有包（一般叫作雜收promiscuous模式：指網(wǎng)絡上的所有設備都對總線上傳送的數(shù)據(jù)進行偵聽，并不僅僅是它們自己的數(shù)據(jù)。），在共享HUB下就能接收到這個網(wǎng)段的所有包，但是交換HUB下就只能是自己的包加上廣播包。 要想在交換HUB下接收別人的包，那就要讓其發(fā)往你的機器所在口。交換HUB記住一個口的MAC是通過接收來自這個口的數(shù)據(jù)后并記住其源MAC，就像一個機器的IP與MAC對應的ARP列表，交換HUB維護一個物理口（就是HUB上的網(wǎng)線插口，這之后提到的所有HUB口都是指網(wǎng)線插口）與MAC的表，所以可以欺騙交換HUB的。可以發(fā)一個包設置源MAC是你想接收的機器的MAC，那么交換HUB就把你機器的網(wǎng)線插的物理口與那個MAC對應起來了，以后發(fā)給那個MAC的包就發(fā)往你的網(wǎng)線插口了，也就是你的網(wǎng)卡可以SNIFFER到了。注意這物理口與MAC的表與機器的ARP表一樣是動態(tài)刷新的，那機器發(fā)包后交換HUB就又記住他的口了，所以實際上是兩個在爭，這只能應用在只要收聽少量包就可以的場合。內(nèi)部網(wǎng)基于IP的通信可以用ARP欺騙別人機器讓其發(fā)送給你的機器，如果要想不影響原來兩方的通信，可以欺騙兩方，讓其都發(fā)給你的機器再由你的機器轉(zhuǎn)發(fā)，相當于做中間人，這用ARP加上編程很容易實現(xiàn)。并且現(xiàn)在很多設備支持遠程管理，有很多交換HUB可以設置一個口監(jiān)聽別的口，不過這就要管理權限了。利用這一點，可以將一臺計算機的網(wǎng)絡連接設置為接受所有以太網(wǎng)總線上的數(shù)據(jù)，從而實現(xiàn)sniffer。Sniffer就是一種能將本地網(wǎng)卡狀態(tài)設成雜收狀態(tài)的軟件，當網(wǎng)卡處于這種“雜收”方式時，該網(wǎng)卡具備“廣播地址”，它對遇到的每一個幀都產(chǎn)生一個硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該物理媒體上的每一個報文包。（絕大多數(shù)的網(wǎng)卡具備置成雜收方式的能力）可見，sniffer工作在網(wǎng)絡環(huán)境中的底層，它會攔截所有的正在網(wǎng)絡上傳送的數(shù)據(jù)，并且通過相應的軟件處理，可以實時分析這些數(shù)據(jù)的內(nèi)容，進而分析所處的網(wǎng)絡狀態(tài)和整體布局。值得注意的是：sniffer是極其安靜的，它是一種消極的安全攻擊。嗅探器在功能和設計方面有很多不同。有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議。一般情況下，大多數(shù)的嗅探器至少能夠分析下面的協(xié)議：標準以太網(wǎng)、TCP/IP、IPX、DECNet。 3.3 sniffer的主要功能v 捕獲網(wǎng)絡流量進行詳細分析v 利用專家分析系統(tǒng)診斷問題v 實時監(jiān)控網(wǎng)絡活動 v 收集網(wǎng)絡利用率和錯誤等 3.4功能簡介專家分析專家分分析系統(tǒng)提供了一個只能的分析平臺，對網(wǎng)絡上的流量進行了一些分析對于分析出的診斷結(jié)果可以查看在線幫助獲得。在下圖中顯示出在網(wǎng)絡中WINS查詢失敗的次數(shù)及TCP重傳的次數(shù)統(tǒng)計等內(nèi)容，可以方便了解網(wǎng)絡中高層協(xié)議出現(xiàn)故障的可能點。對于某項統(tǒng)計分析可以通過用鼠標雙擊此條記錄可以查看詳細統(tǒng)計信息且對于每一項都可以通過查看幫助來了解起產(chǎn)生的原因。解碼分析對捕獲報文進行解碼的顯示，通常分為三部分，目前大部分此類軟件結(jié)構都采用這種結(jié)構顯示。對于解碼主要要求分析人員對協(xié)議比較熟悉，這樣才能看懂解析出來的報文。使用該軟件是很簡單的事情，要能夠利用軟件解碼分析來解決問題關鍵是要對各種層次的協(xié)議了解的比較透徹。工具軟件只是提供一個輔助的手段。因涉及的內(nèi)容太多，這里不對協(xié)議進行過多講解，請參閱其他相關資料。對于MAC地址，Snffier軟件進行了頭部的替換，如00e0fc開頭的就替換成Huawei，這樣有利于了解網(wǎng)絡上各種相關設備的制造廠商信息。功能是按照過濾器設置的過濾規(guī)則進行數(shù)據(jù)的捕獲或顯示。在菜單上的位置分別為 Capture-Define Filter和Display-Define Filter。過濾器可以根據(jù)物理地址或IP地址和協(xié)議選擇進行組合篩選。統(tǒng)計分析對于Matrix，Host Table，Portocol Dist. Statistics等提供了豐富的按照地址，協(xié)議等內(nèi)容做了豐富的組合統(tǒng)計，比較簡單，可以通過操作很快掌握這里就不再詳細介紹了。2.4 設置捕獲條件基本捕獲條件基本的捕獲條件有兩種：1、鏈路層捕獲，按源MAC和目的MAC地址進行捕獲，輸入方式為十六進制連續(xù)輸入，如：00E0FC123456。2、IP層捕獲，按源IP和目的IP進行捕獲。輸入方式為點間隔方式，如：。如果選擇IP層捕獲條件則ARP等報文將被過濾掉。高級捕獲條件在“Advance”頁面下，你可以編輯你的協(xié)議捕獲條件，高級捕獲條件編輯圖在協(xié)議選擇樹中你可以選擇你需要捕獲的協(xié)議條件，如果什么都不選，則表示忽略該條件，捕獲所有協(xié)議。在捕獲幀長度條件下，你可以捕獲，等于、小于、大于某個值的報文。在錯誤幀是否捕獲欄，你可以選擇當網(wǎng)絡上有如下錯誤時是否捕獲。在保存過濾規(guī)則條件按鈕“Profiles”，你可以將你當前設置的過濾規(guī)則，進行保存，在捕獲主面板中，你可以選擇你保存的捕獲條件。任意捕獲條件在Data Pattern下，你可以編輯任意捕獲條件，如下圖：用這種方法可以實現(xiàn)復雜的報文過濾，但很多時候是得不償失，有時截獲的報文本就不多，還不如自己看看來得快。 第四章 EMAIL協(xié)議 4.1 Email 簡介 郵件服務是Internet上最常用的服務之一，它提供了與操作系統(tǒng)平臺無關的通信服務，使用郵件服務，用戶可通過電子郵件在網(wǎng)絡之間交換數(shù)據(jù)信息。郵件傳輸包括將郵件從發(fā)送者客戶端發(fā)往郵件服務器，以及接收者從郵件服務器將郵件取回到接收者客戶端。 4.2 SMTP和POP3 在TCP/IP協(xié)議簇中，一般使用SMTP協(xié)議發(fā)送郵件，POP3協(xié)議接收郵件。SMTP，全稱Simple Message Transfer Protocol，中文名為簡單郵件傳輸協(xié)議，工作在TCP/IP層次的應用層。SMTP采用Client/Server工作模式，默認使用TCP 25端口，提供可靠的郵件發(fā)送服務。POP3，全稱Post Office Protocol 3，中文名為第三版郵局協(xié)議，工作在TCP/IP層次的應用層。POP3采用Client/Server工作模式，默認使用TCP 110端口，提供可靠的郵件接收服務。 4.3 實驗環(huán)境 我們使用sniffer網(wǎng)絡分析軟件捕獲并分析一個使用SMTP協(xié)議的發(fā)送郵件過程，客戶端主機名為“xuanxuan”，客戶端用戶代理使用Foxmail 6.5 ，郵件發(fā)送者676624157QQ.com，郵件接收者。在sniffer網(wǎng)絡分析軟件中開始數(shù)據(jù)捕獲，在Foxmail中使用676624157QQ.com向發(fā)送一封郵件，郵件原始信息如圖4-1所示。發(fā)送完成后即可在sniffer網(wǎng)絡分析軟件對剛才的郵件發(fā)送操作進行分析。 圖4-1（原始郵件） 圖4-2 （郵件發(fā)送數(shù)據(jù)包） 4.4 STMP數(shù)據(jù)包分析圖4-2所示的是sniffer網(wǎng)絡抓包軟件對上面發(fā)送郵件操作的報文跟蹤，詳細信息如下： 1. 第1、2個數(shù)據(jù)包是本地主機向域名服務器請求域名解析的一個過程，本地的IP是1，域名服務器的IP是8。2. 第3、4、5個數(shù)據(jù)包是TCP連接的三次握手數(shù)據(jù)包，連接的雙方是本機1與域名SMTPQQ.com對應的IP地址47。 3. 從第6個數(shù)據(jù)包開始，服務端已經(jīng)準備好郵件接收的準備，客戶端開始通過TCP協(xié)議連接POP3服務器，并與POP3服務器進行命令的交互。4. 第7到18個數(shù)據(jù)包是發(fā)件方問候收件方，使用的是HELO命令，后面所跟的參數(shù)是發(fā)件方的服務器地址這里的是xuanxuan表示本地標識（如第7行），客戶端發(fā)送此命令與SMTP服務器建立連接，將發(fā)送者郵件地址發(fā)送給SMTP服務器 ，第18行表示收件方和發(fā)件方已經(jīng)建立連接成功。5. 第19到21個數(shù)據(jù)包是表明開始傳送郵件，MAIL這個命令后面所跟的參數(shù)是發(fā)件方的郵箱地址這里的是676624157QQ.com（如第19行），它的作用還有當郵件無法到達時，發(fā)送失敗通知。第21行表明郵件的地址已經(jīng)通過收件方服務器的認證。6. 第22-24個數(shù)據(jù)包是告訴收件方的郵箱地址。當有多個收件地址的時候需要多次使用該命令，這里如（如圖4-2第22行）第24個數(shù)據(jù)包表明SMTP.QQ.COM服務器同意轉(zhuǎn)發(fā)該地址（）。7. 第25-27個數(shù)據(jù)包是表明發(fā)送方發(fā)送的數(shù)據(jù)的過程，當遇到.行表明數(shù)據(jù)傳輸結(jié)束（如圖4-2第27個數(shù)據(jù)包）。8. 第28個數(shù)據(jù)包的結(jié)夠如圖4-3，它傳送到內(nèi)容是郵件的一些基本信息（發(fā)送時間：2010.11.12 - 9：33：35 發(fā)件方地址：676624157 主題內(nèi)容：是一些加了密的編碼 MIME版本：1.0版 圖第8行是mime使用的是 multiparty/alternative內(nèi)容類型 圖4-39. 第30個數(shù)據(jù)包的結(jié)構如圖4-4，它定義一些郵件正文的一些屬性編碼信息和一些加通過編碼的數(shù)據(jù)。 圖4-410. 第33個數(shù)據(jù)包標志著整個郵件發(fā)送已經(jīng)結(jié)束。4.5 SMTP郵件接收郵件 圖4-5（郵件接收過程）圖4-5所示的是sniffer網(wǎng)絡分析系統(tǒng)對上面接收郵件操作包的跟蹤，以下是具體包的分析：1. 第1、2個數(shù)據(jù)包是本地主機向域名服務器請求域名解析的一個過程 ，本地的IP是1，域名服務器的IP是8。2. 第3、4、5個數(shù)據(jù)包是TCP連接的三次握手數(shù)據(jù)包，連接的雙方是本機1與域名pop3.163.idns.yeah,.net建立連接。3. 第6個數(shù)據(jù)包表示pop3.163.idns.yeah,net服務器向本機發(fā)送一個連接確認消息，表示連接成功。4. 第7，8，9，10，11個數(shù)據(jù)包是本機1 使用user命令，將用戶帳號dpeixuan發(fā)送給服務器，第8，9個數(shù)據(jù)包是pop3服務器返回確認數(shù)據(jù)包，第10個數(shù)據(jù)包是本機發(fā)送的pass命令攜帶的是密碼，第11個數(shù)據(jù)包是pop3服務器，根據(jù)本機發(fā)送的賬戶和密碼，返回的確認數(shù)據(jù)包，表示本機可以訪問本地主機指定的郵箱信息。 5. 第12個數(shù)據(jù)包是本機向POP3服務器發(fā)送STAT命令，請求POP3服務器返回郵箱的統(tǒng)計信息，第13個數(shù)據(jù)包是POP3服務器接收到本機的STAT命令返回的，相關數(shù)據(jù)信息。6. 第14個數(shù)據(jù)包是本機向POP3服務器發(fā)送UIDL命令要求POP3返回郵件的唯一標識符，第15.16.個數(shù)據(jù)包是POP3服務器返回的郵件的唯一標識，17是POP3返回的確認數(shù)據(jù)包。7. 第18個數(shù)據(jù)包是本機發(fā)送的LIST命令，要求POP服務器返回郵件的數(shù)量和每個郵件的大小。第19個數(shù)據(jù)包是POP3服務器返回的本機請求的信息，本郵箱共有63封郵件，和各個郵件的大小。圖4-68. 第20個數(shù)據(jù)包是本機向服務器發(fā)送RETR命令，要求服務器返回RETR 命令所標識的第68封郵件，第21數(shù)據(jù)包是服務器返回的確認數(shù)據(jù)包，表示服務器已經(jīng)接收命令，第22個數(shù)據(jù)包是顯示的是第68封郵件的基本描述信息，第23個數(shù)據(jù)包是本機發(fā)送的確認數(shù)據(jù)包，第24和25個數(shù)據(jù)包是郵件明碼顯示的內(nèi)容，如圖4-6所示，第26.27個數(shù)據(jù)包是本機向服務器發(fā)送的確認數(shù)據(jù)包，和QUIT命令當POP3服務器接收的此命令后會斷開和客戶機的連接。4.6 分析結(jié)論以上簡單介紹了SMTP和POP3協(xié)議，并使用sniffer網(wǎng)絡分析分析系統(tǒng)，跟蹤分析了一個基于SMTP/POP3協(xié)議的郵件收發(fā)操作。據(jù)此，用戶在遇到不能正常收發(fā)郵件（使用SMTP/POP3協(xié)議）的問題時，即可結(jié)合上述的SMTP/POP3相關知識，使用網(wǎng)絡檢測分析軟件（這兒是sniffer網(wǎng)絡分析系統(tǒng)）對郵件接收和郵件發(fā)送的報文進行跟蹤分析，以完成對此類故障的快速排查。 第五章 HTTP協(xié)議5.1 HTTP協(xié)議概述 HTTP是一個客戶端和服務器端請求和應答的標準（TCP）?？蛻舳耸墙K端用戶，服務器端是網(wǎng)站。通過使用Web瀏覽器、網(wǎng)絡爬蟲或者其它的工具，客戶端發(fā)起一個到服務器上指定端口（默認端口為80）的HTTP請求。（我們稱這個客戶端）叫用戶代理（user agent）。應答的服務器上存儲著（一些）資源，比如HTML文件和圖像。（我們稱）這個應答服務器為源服務器（origin server）。在用戶代理和源服務器中間可能存在多個中間層，比如代理，網(wǎng)關，或者隧道（tunnels）。盡管TCP/IP協(xié)議是互聯(lián)網(wǎng)上最流行的應用，HTTP協(xié)議并沒有規(guī)定必須使用它和（基于）它支持的層。 事實上，HTTP可以在任何其他互聯(lián)網(wǎng)協(xié)議上，或者在其他網(wǎng)絡上實現(xiàn)。HTTP只假定（其下層協(xié)議提供）可靠的傳輸，任何能夠提供這種保證的協(xié)議都可以被其使用。5.2 HTTP協(xié)議的工作模式HTTP協(xié)議是基于請求響應范式的。一個客戶機與服務器建立連接后，發(fā)送一個請求給服務器，請求方式的格式為，統(tǒng)一資源標識符、協(xié)議版本號，后邊是MIME信息包括請求修飾符、客戶機信息和可能的內(nèi)容。服務器接到請求后，給予相應的響應信息，其格式為一個狀態(tài)行包括信息的協(xié)議版本號、一個成功或錯誤的代碼，后邊是MIME信息包括服務器信息、實體信息和可能的內(nèi)容。許多HTTP通訊是由一個用戶代理初始化的并且包括一個申請在源服務器上資源的請求。最簡單的情況可能是在用戶代理(UA)和源服務器(O)之間通過一個單獨的連接來完成。當一個或多個中介出現(xiàn)在請求響應鏈中時，情況就變得復雜一些。中介由三種：代理(Proxy)、網(wǎng)關(Gateway)和通道(Tunnel)。一個代理根據(jù)URI的絕對格式來接受請求，重寫全部或部分消息，通過URI的標識把已格式化過的請求發(fā)送到服務器。網(wǎng)關是一個接收代理，作為一些其它服務器的上層，并且如果必須的話，可以把請求翻譯給下層的服務器協(xié)議。 5.3 HTTP協(xié)議的特點 從上述HTTP協(xié)議的工作模式可以看出HTTP協(xié)議具有如下主要特點：（1） 支持客戶/服務器模式（2） 簡捷快速：客戶機向服務器請求時，只需傳送請求方法和路徑。請求方法常用的有GET，HEAD，POST。每種方法規(guī)定了客戶機和服務器聯(lián)系的類型不同。由于HTTP協(xié)議的簡單使得HTTP服務器的程序規(guī)模小，因而通信速度很快。（3） 靈活：無連接的含義是限制每次連接至處理一個請求。服務器處理完客戶機的請求，并收到客戶機的應答后，即斷開連接。（4） 無連接（5） 無狀態(tài)5.4 HTTP協(xié)議通信過程 當我們在瀏覽器的地址欄輸入“”然后按回車，這之后發(fā)生了什么事，我們直接看到的是打開了對應的網(wǎng)頁，那么內(nèi)部客戶端和服務端是如何通信的呢？下面就詳細介紹一下HTTP工作的過程 1、URL自動解析 HTTP URL包含了用于查找某個資源的足夠信息，基本格式如下：HTTP:/host“:”portabs_path，其中HTTP表示桶蓋HTTP協(xié)議來定位網(wǎng)絡資源；host表示合法的主機域名或IP地址，port指定一個端口號，缺省80；abs_path指定請求資源的URI；如果URL中沒有給出abs_path，那么當它作為請求URI時，必須以“/”的形式給出，通常這個工作瀏覽器自動幫我們完成。 2、獲取IP，建立TCP連接 瀏覽器地址欄中輸入HTTP://并提交之后，首先它會在DNS本地緩存表中查找，如果有則直接告訴IP地址。如果沒有則要求網(wǎng)關DNS進行查找，如此下去，找到對應的IP后，則返回會給瀏覽器。 當獲取IP之后，就開始與所請求的Tcp建立三次握手連接，連接建立后，就向服務器發(fā)出HTTP請求。3、客戶端瀏覽器向服務器發(fā)出HTTP請求 一旦建立了TCP連接，Web瀏覽器就會向Web服務器發(fā)送請求命令，接著以頭信息的形式向Web服務器發(fā)送一些別的信息，之后瀏覽器發(fā)送了一空白行來通知服務器，它已經(jīng)結(jié)束了該頭信息的發(fā)送。4、Web服務器應答，并向瀏覽器發(fā)送數(shù)據(jù) 客戶機向服務器發(fā)出請求后，服務器會客戶機回送應答， HTTP/1.1 200 OK 應答的第一部分是協(xié)議的版本號和應答狀態(tài)碼，正如客戶端會隨同請求發(fā)送關于自身的信息一樣，服務器也會隨同應答向用戶發(fā)送關于它自己的數(shù)據(jù)及被請求的文檔。 Web服務器向瀏覽器發(fā)送頭信息后，它會發(fā)送一個空白行來表示頭信息的發(fā)送到此為結(jié)束，接著，它就以Content-Type應答頭信息所描述的格式發(fā)送用戶所請求的實際數(shù)據(jù) 5、Web服務器關閉TCP連接 一般情況下，一旦Web服務器向瀏覽器發(fā)送了請求數(shù)據(jù)，它就要關閉TCP連接，然后如果瀏覽器或者服務器在其頭信息加入了這行代碼 Connection:keep-alive  TCP連接在發(fā)送后將仍然保持打開狀態(tài)，于是，瀏覽器可以繼續(xù)通過相同的連接發(fā)送請求。保持連接節(jié)省了為每個請求建立新連接所需的時間，還節(jié)約了網(wǎng)絡帶寬。 圖5-15.5實驗環(huán)境 本實用是使用與瀏覽器訪問百度的過程，圖5-1是用sniffer抓包工具抓獲得本機1訪問過程中捕獲的數(shù)據(jù)包下面我們來詳細分析HTTP的請求和響應信息的數(shù)據(jù)包內(nèi)容和工作過程。圖5-25.6數(shù)據(jù)包詳細分析圖5-2是第一個數(shù)據(jù)包的內(nèi)容如: 1 GET / HTTP/1.12Accept:fapplication/xml.application/xhtml+xml.text/html;/客戶端可識別的內(nèi)容類型列表。 3 Accept-Language: zh-cn 客戶端所能解釋的語言：簡體中文5 Accept-Encoding: gzip, deflate 客戶端可以解釋的類型6 User-Agent: Mozilla/5.0客戶端瀏覽器型號7 Host: / 提交請求頁面8 Connection: Keep-Alive TCP連接保持打開9Accept-Charset請求報頭域用于指定客戶端接受的字符集10 請求方法URI協(xié)議/版本：以上代碼第1行“GET”表示請求方法，“HTTP/1.1代表協(xié)議和協(xié)議的版本，HTTP請求可以使用多種請求方法，最常用的為GET和POST方法請求頭：2-9行，包含許多有關客戶端環(huán)境和請求正文的有用信息。 空行 ：10行 請求頭和請求正文之間是一個空行，這個行非常重要，表示請求頭已經(jīng)結(jié)束，接下來是正文，這個行非常重要，它表示請求頭已經(jīng)結(jié)束，接下來是請求正文。請求正文中可以包含客戶提交的查詢字符串信息，如用戶名和密碼等。這里沒有。 這里有一點值得說明的是:請求方法中的GET和POST方法；GET方法是默認的HTTP請求方法，我們?nèi)粘Ｓ肎ET方法來提交表單數(shù)據(jù)，然而用GET方法提交的表單數(shù)據(jù)只經(jīng)過了簡單的編碼，同時它將作為URL的一部分向Web服務器發(fā)送，因此，如果使用GET方法來提交表單數(shù)據(jù)就存在著安全隱患上，同時這個URL長度還有限制，不允許超過1k。POST方法是GET方法的一個替代方法，它主要是向Web服務器提交表單數(shù)據(jù)，尤其是大批量的數(shù)據(jù)。POST方法克服了GET方法的一些缺點。通過POST方法提交表單數(shù)據(jù)時，數(shù)據(jù)不是作為URL請求的一部分而是作為標準數(shù)據(jù)傳送給Web服務器，這就克服了GET方法中的信息無法保密和數(shù)據(jù)量太小的缺點。因此，出于安全的考慮以及對用戶隱私的尊重，通常表單提交時采用POST方法。HTTP協(xié)議服務器響應數(shù)據(jù)包圖5-3圖5-3的第3個數(shù)據(jù)包它是一個響應數(shù)據(jù)包具體內(nèi)容如下: 1HTTP/1.1 200 OK2Cache-Control: private, max-age=03Date: Fri, 27 Feb 2009 07:53:36 GMT4Expires: Sat ,13 Nov 2010 06:39:35 GMT5Content-Type: text/html; charset=gb23127Content-Encoding: gzip 8Server: BWS/1.09Transfer-Encoding: chunked 該響應信息也以對應的4部分組成： l協(xié)議狀態(tài)描述，HTTP/1.1表示協(xié)議版本，200 OK表示服務器已經(jīng)成功處理了客戶端發(fā)出的請求。200表示HTTP的應答碼成功。HTTP應答碼由3位數(shù)字構成，其中首位數(shù)字定義了應答碼的類型： 1XX信息類(Information),表示收到Web瀏覽器請求，正在進一步的處理中 2XX成功類（Successful）,表示用戶請求被正確接收，理解和處理例如：200 OK 3XX-重定向類(Redirection),表示請求沒有成功，客戶必須采取進一步的動作。 4XX-客戶端錯誤(Client Error)，表示客戶端提交的請求有錯誤 例如：404 NOT Found，意味著請求中所引用的文檔不存在。5XX-服務器錯誤(Server Error)表示服務器不能完成對請求的處理：如 500 Date: /響應報文的時間 Server: /響應報文的服務器 Content-Length: /表明實體的長度 Connection: /告訴客戶機在報文發(fā)送完畢后連接的狀態(tài) Content-Type: /表明實體中的對象類型(html文檔) 響應頭：跟請求頭一樣，它指出服務器的功能，標識出響應數(shù)據(jù)的細節(jié)?？招校阂彩菍儆陧憫^和響應正文之間必須存在的一個空行，表示響應頭結(jié)束，接下來是響應正文5.7分析結(jié)論第六章FTP協(xié)議6.1 ftp協(xié)議簡介FTP是一個8位的客戶端-服務器協(xié)議，能操作任何類型的文件而不需要進一步處理，就像MIME或Unencode一樣。但是，F(xiàn)TP有著極高的延時，這意味著，從開始請求到第一次接收需求數(shù)據(jù)之間的時間會非常長，并且不時的必需執(zhí)行一些冗長的登陸進程。 FTP服務一般運行在20和21兩個端口。端口20用于在客戶端和服務器之間傳輸數(shù)據(jù)流，而端口21用于傳輸控制流，并且是命令通向ftp服務器的進口。當數(shù)據(jù)通過數(shù)據(jù)流傳輸時，控制流處于空閑狀態(tài)。而當控制流空閑很長時間后，客戶端的防火墻會將其會話置為超時，這樣當大量數(shù)據(jù)通過防火墻時，會產(chǎn)生一些問題。此時，雖然文件可以成功的傳輸，但因為控制會話會被防火墻斷開，傳