局域網(wǎng)的數(shù)據(jù)包監(jiān)聽(tīng)及數(shù)據(jù)分析畢業(yè)設(shè)計(jì).doc

精品文檔河南工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)任務(wù)書(shū)類(lèi)別： 三年制高職 專(zhuān) 業(yè)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 班 級(jí): 網(wǎng)絡(luò) 姓 名： 托爾 畢業(yè)設(shè)計(jì)題目： 局域網(wǎng)的數(shù)據(jù)包監(jiān)聽(tīng)及數(shù)據(jù)分析 指導(dǎo)教師及聯(lián)系方式： 負(fù)責(zé)人簽字： 年 月 日39歡迎下載39歡迎下載。設(shè)計(jì)任務(wù)及要求： 1、認(rèn)真學(xué)習(xí)sinffer的使用方法。 2、使用sinffer抓出ftp、http、mail等服務(wù)工作數(shù)據(jù)包。 3、分析收集到的數(shù)據(jù)包的結(jié)構(gòu)，描述出上述協(xié)議的工作過(guò)程，寫(xiě)出分析報(bào)告 4、用java語(yǔ)言編寫(xiě)文件傳送的應(yīng)用程序 應(yīng)完成的硬件或軟件實(shí)驗(yàn)： 1、分析ftp、http、mail的數(shù)據(jù)包的結(jié)構(gòu) 2、 java語(yǔ)言編寫(xiě)文件傳送的應(yīng)用程序 應(yīng)交出的設(shè)計(jì)文件及實(shí)物(包括設(shè)計(jì)論文、程序清單或磁盤(pán)、實(shí)驗(yàn)裝置或產(chǎn)品等)： 1、設(shè)計(jì)論文 2、文件傳送的應(yīng)用程序 指導(dǎo)教師（簽字）： 年 月 日摘要Internet 是20世紀(jì)最偉大的發(fā)明之一，它將全世界數(shù)以萬(wàn)計(jì)的計(jì)算機(jī)設(shè)備連接成一個(gè)巨大的網(wǎng)絡(luò)，并使它們能在彼此之間迅速方便的傳輸信息，整個(gè)世界好像突然變小了，改變整個(gè)世界的不只是Internet本身，還有無(wú)法計(jì)數(shù)的構(gòu)筑在其上的TCP/IP協(xié)議簇的體系結(jié)構(gòu)及各層組成協(xié)議的工作機(jī)制。通過(guò)電子郵件，信件的往來(lái)不再需要幾天甚至幾周了，WWW通過(guò)Web頁(yè)面容合了文本，圖像，聲音，和視頻等多種信息，給人類(lèi)帶來(lái)了豐富多彩的網(wǎng)絡(luò)世界。文件的共享已不再困難，F(xiàn)TP的出現(xiàn)，促進(jìn)文件的共享；間接或隱式地使用遠(yuǎn)程計(jì)算機(jī)；使不同的文件存儲(chǔ)系統(tǒng)對(duì)用戶(hù)來(lái)講是透明的，因此本文主要闡述了目前網(wǎng)絡(luò)所使用的網(wǎng)絡(luò)應(yīng)用Email ,HTTP,FTP等協(xié)議工作原理，做了簡(jiǎn)單的介紹，并對(duì)最廣泛的監(jiān)聽(tīng)工具sniffer做了簡(jiǎn)單的概述。【關(guān)鍵詞】 網(wǎng)絡(luò)協(xié)議 Sniffer_pro 協(xié)議分析 HTTP FTP 引 言 目前，網(wǎng)絡(luò)的速度發(fā)展非常快，學(xué)習(xí)網(wǎng)絡(luò)的人也越來(lái)越多，稍有網(wǎng)絡(luò)常識(shí)的人都知道TCP/IP協(xié)議是網(wǎng)絡(luò)的基礎(chǔ)，是Internet的語(yǔ)言，可以說(shuō)沒(méi)有TCP/IP協(xié)議就沒(méi)有互聯(lián)網(wǎng)的今天。目前號(hào)稱(chēng)搞網(wǎng)的人非常多，許多人就是從一把夾線(xiàn)鉗，一個(gè)測(cè)線(xiàn)器聯(lián)網(wǎng)開(kāi)始接觸網(wǎng)絡(luò)的，如果只是聯(lián)網(wǎng)玩玩，知道幾個(gè)Ping之類(lèi)的命令就行了，如果想在網(wǎng)絡(luò)上有更多的發(fā)展不管是黑道還是紅道，必須要把TCP/IP協(xié)議搞的非常明白。 正如Internet的核心TCP/IP協(xié)議的目標(biāo)所指出的，任何人都可以方便地使用Internet，并在其上開(kāi)發(fā)出新的應(yīng)用。當(dāng)然，要開(kāi)發(fā)基于Internet上的應(yīng)用必須先知道它是如何工作的，即它是如何將各種各樣不同的設(shè)備連接起來(lái)的，如何將數(shù)據(jù)從一個(gè)計(jì)算機(jī)設(shè)備傳輸?shù)搅硪粋€(gè)的過(guò)程，是如何支持各種各樣的應(yīng)用軟件的。當(dāng)然，如果你的 工作不需要知道這些，如果你對(duì)此不感興趣，那就無(wú)所謂了，但如果想對(duì)網(wǎng)絡(luò)有更深的了解，那就必須對(duì)網(wǎng)絡(luò)協(xié)議的工作原理有更加深刻的認(rèn)識(shí)，和了解。這樣將對(duì)你的職業(yè)生涯有更大的幫助，司機(jī)雖然不用生產(chǎn)自己開(kāi)店汽車(chē)，但一個(gè)好司機(jī)應(yīng)該知道汽車(chē)的工作原理。同樣網(wǎng)絡(luò)軟件開(kāi)發(fā)人員不用自己設(shè)計(jì)通訊網(wǎng)絡(luò)的軟件，但應(yīng)該知道網(wǎng)絡(luò)協(xié)議的工作原理和機(jī)制，這樣才能開(kāi)發(fā)正確,穩(wěn)定,高效的網(wǎng)絡(luò)軟件。地址郵件是Internet上的最早的應(yīng)用之一，由于電子郵件與傳統(tǒng)的郵件相比具有傳輸速度快速，風(fēng)雨無(wú)阻的優(yōu)點(diǎn)，同時(shí)又不像電話(huà)那樣需要通信雙方同時(shí)在場(chǎng)，因此，電子郵件應(yīng)用出現(xiàn)后發(fā)展迅速，目前已成為Internet上最流行的應(yīng)用之一。WWW因?yàn)椴捎昧藞D像用戶(hù)界面，在Web頁(yè)面中融合了文本，圖像，聲音，和視頻等多媒體信息，給網(wǎng)絡(luò)帶來(lái)了豐富多彩的網(wǎng)絡(luò)生活，因此，受到了廣泛的歡迎。FTP文件傳輸協(xié)議因?yàn)榫哂校捍龠M(jìn)文件的共享；鼓勵(lì)間接地或隱式的來(lái)使用遠(yuǎn)程計(jì)算機(jī)；使得不同主機(jī)的不同文件存儲(chǔ)系統(tǒng)對(duì)用戶(hù)來(lái)講是透明的；高效可靠的傳輸數(shù)據(jù)，也受到了Internet用戶(hù)的喜愛(ài)。學(xué)習(xí)過(guò)TCP/IP協(xié)議的人多有一種感覺(jué)，這東西太抽象了，沒(méi)有什么數(shù)據(jù)實(shí)例，看完不久就忘了。本論文將介紹利用協(xié)議分析工具學(xué)習(xí)TCP/IP協(xié)議簇中最常用的Email,FTP,HTTP等協(xié)議，在學(xué)習(xí)的過(guò)程中能直觀(guān)的看到數(shù)據(jù)的具體傳輸過(guò)程，及工作原理。 第一章 Internet 概述1.1 Internet的定義在英語(yǔ)中“Inter”的含義是“互動(dòng)的”，“net”是指“網(wǎng)絡(luò)”。簡(jiǎn)單而言，Internet是指一個(gè)由計(jì)算機(jī)構(gòu)成的交互網(wǎng)絡(luò)。它是全球數(shù)萬(wàn)個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，數(shù)千臺(tái)計(jì)算機(jī)連接起來(lái)，包含了難以計(jì)數(shù)的信息資源，向全世界提供信息服務(wù)。它的出現(xiàn)，是世界由工業(yè)化走向信息化的必然和象征。從網(wǎng)絡(luò)通信角度來(lái)看，Internet是一個(gè)以TCP/IP網(wǎng)絡(luò)協(xié)議連接各個(gè)國(guó)家，各個(gè)地區(qū)，各個(gè)機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)通信網(wǎng)。從信息角度來(lái)看，Internet是一個(gè)集各個(gè)部門(mén)，各個(gè)領(lǐng)域的各種信息資源為一體，供網(wǎng)上用戶(hù)共享的信息資源網(wǎng)。1.2 Internet 協(xié)議 Internet的是實(shí)質(zhì)是實(shí)現(xiàn)異種網(wǎng)絡(luò)的互聯(lián)，它充分利用各種通信子網(wǎng)的數(shù)據(jù)傳輸能力，通過(guò)在依賴(lài)于通信子網(wǎng)的通信模塊和應(yīng)用程序之間插入新的協(xié)議軟件來(lái)保證應(yīng)用程序之間的互操作性。因特網(wǎng)協(xié)議簇稱(chēng)為 TCP/IP 協(xié)議簇。其中包含了為數(shù)重多的協(xié)議，應(yīng)用層的 Telnet, FTP, HTTP, SMTP,DNS等協(xié)議,傳輸層TCP, UDP協(xié)議，網(wǎng)絡(luò)層的IP, ARP,RARP,ICMP,IGMP等協(xié)議。 1.2 Internet 應(yīng)用現(xiàn)狀與發(fā)展趨勢(shì) 從目前的情況來(lái)看，Internet市場(chǎng)仍具有巨大的發(fā)展?jié)摿?，未?lái)其應(yīng)用將涵蓋從辦公室共享信息到市場(chǎng)營(yíng)銷(xiāo)，服務(wù)等廣泛領(lǐng)域。另外，Internet帶來(lái)的電子貿(mào)易正改變著現(xiàn)今商業(yè)活動(dòng)的傳統(tǒng)模式，其提供的方便而廣泛的互聯(lián)必將對(duì)未來(lái)社會(huì)的各個(gè)方面帶來(lái)的影響。 隨著世界各國(guó)信息高速公路計(jì)劃的實(shí)施，Internet主干網(wǎng)的通信速度將大幅度提高；有線(xiàn)，無(wú)線(xiàn)等多種通信方式將更加廣泛，有效地融為一體；internet的商業(yè)應(yīng)用的范圍也將不斷擴(kuò)大；Internet的覆蓋范圍，用戶(hù)入網(wǎng)數(shù)以令人難以令人難以置信的速度發(fā)展；網(wǎng)絡(luò)資源急劇膨脹?？傊祟?lèi)社會(huì)必將更加依賴(lài)Internet，人們的生活方式將因此而發(fā)生根本的改變。第二章 TCP/IP協(xié)議TCP/IP（Transmission Control Protocol /Internet Protocol)的簡(jiǎn)寫(xiě)，中文譯名為傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議，又叫網(wǎng)絡(luò)通訊協(xié)議，這個(gè)協(xié)議是Internet最基本的協(xié)議、Internet國(guó)際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)，簡(jiǎn)單地說(shuō)，就是由網(wǎng)絡(luò)層的IP協(xié)議和傳輸層的TCP協(xié)議組成的。2.1 TCP/IP協(xié)議的發(fā)展背景1975年，兩個(gè)網(wǎng)絡(luò)之間的TCP/IP通信在斯坦福和倫敦大學(xué)（UCL）之間進(jìn)行了測(cè)試。1977年11月，三個(gè)網(wǎng)絡(luò)之間的TCP/IP測(cè)試在美國(guó)、英國(guó)和挪威之間進(jìn)行。在1978年到1983年間，其他一些TCP/IP原型在多個(gè)研究中心之間開(kāi)發(fā)出來(lái)。ARPANET完全轉(zhuǎn)換到TCP/IP在1983年1月1日發(fā)生。1997年，為了褒獎(jiǎng)對(duì)因特網(wǎng)發(fā)展作出突出貢獻(xiàn)的科學(xué)家，并對(duì)TCP/IP協(xié)議作出充分肯定，美國(guó)授予為因特網(wǎng)發(fā)明和定義TCP/IP協(xié)議的文頓瑟夫和卡恩“國(guó)家技術(shù)金獎(jiǎng)”。這無(wú)疑使人們認(rèn)識(shí)到TCP/IP協(xié)議的重要性。2.2 TCP/IP協(xié)議的定義TCP/IP 是供已連接因特網(wǎng)的計(jì)算機(jī)進(jìn)行通信的通信協(xié)議。定義了電子設(shè)備（比如計(jì)算機(jī)）如何連入因特網(wǎng)，以及數(shù)據(jù)如何在它們之間傳輸?shù)臉?biāo)準(zhǔn)。TCP/IP是一個(gè)兩層的程序。高層為傳輸控制協(xié)議，它負(fù)責(zé)聚集信息或把文件拆分成更小的包。這些包通過(guò)網(wǎng)絡(luò)傳送到接收端的TCP層，接收端的TCP層把包還原為原始文件。低層是網(wǎng)際協(xié)議，它處理每個(gè)包的地址部分，使這些包正確的到達(dá)目的地。網(wǎng)絡(luò)上的網(wǎng)關(guān)計(jì)算機(jī)根據(jù)信息的地址來(lái)進(jìn)行路由選擇。即使來(lái)自同一文件的分包路由也有可能不同，但最后會(huì)在目的地匯合。 TCP/IP通信是點(diǎn)對(duì)點(diǎn)的。TCP/IP與上層應(yīng)用程序之間可以說(shuō)是“沒(méi)有國(guó)籍的”，因?yàn)槊總€(gè)客戶(hù)請(qǐng)求都被看做是與上一個(gè)請(qǐng)求無(wú)關(guān)的。正是它們之間的“無(wú)國(guó)籍的”釋放了網(wǎng)絡(luò)路徑，才是每個(gè)人都可以連續(xù)不斷的使用網(wǎng)絡(luò)。 許多用戶(hù)熟悉使用TCP/IP協(xié)議的高層應(yīng)用協(xié)議。包括萬(wàn)維網(wǎng)的超文本傳輸協(xié)議（HTTP），文件傳輸協(xié)議（FTP），遠(yuǎn)程網(wǎng)絡(luò)訪(fǎng)問(wèn)協(xié)議(Telnet)和簡(jiǎn)單郵件傳輸協(xié)議（SMTP）。這些協(xié)議通常和TCP/IP協(xié)議打包在一起。 使用模擬電話(huà)調(diào)制解調(diào)器連接網(wǎng)絡(luò)的個(gè)人電腦通常是使用串行線(xiàn)路接口協(xié)議（SLIP）和點(diǎn)對(duì)點(diǎn)協(xié)議（P2P）。這些協(xié)議壓縮IP包后通過(guò)撥號(hào)電話(huà)線(xiàn)發(fā)送到對(duì)方的調(diào)制解調(diào)器中。 有TCP/IP協(xié)議相關(guān)的協(xié)議還包括用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP），它代替TCP/IP協(xié)議來(lái)達(dá)到特殊的目的。其他協(xié)議是網(wǎng)絡(luò)主機(jī)用來(lái)交換路由信息的，包括Internet控制信息協(xié)議（ICMP），內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），外部網(wǎng)關(guān)協(xié)議（EGP），邊界網(wǎng)關(guān)協(xié)議（BGP）。2.3 TCP/IP協(xié)議的參考模型TCP/IP協(xié)議并不完全符合OSI的七層參考模型。傳統(tǒng)的開(kāi)放式系統(tǒng)互連參考模型，是一種通信協(xié)議的7層抽象的參考模型,其中每一層執(zhí)行某一特定任務(wù)。該模型的目的是使各種硬件在相同的層次上相互通信。這7層是:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話(huà)層、表示層和應(yīng)用層。而TCP/IP通訊協(xié)議采用了4層的層級(jí)結(jié)構(gòu)，每一層都呼叫它的下一層所提供的網(wǎng)絡(luò)來(lái)完成自己的需求。這4層分別為： 應(yīng)用層：應(yīng)用程序間溝通的層，如簡(jiǎn)單電子郵件傳輸（SMTP）、文件傳輸協(xié)議（FTP）、網(wǎng)絡(luò)遠(yuǎn)程訪(fǎng)問(wèn)協(xié)議（Telnet）等。 傳輸層：在此層中，它提供了節(jié)點(diǎn)間的數(shù)據(jù)傳送，應(yīng)用程序之間的通信服務(wù)，主要功能是數(shù)據(jù)格式化、數(shù)據(jù)確認(rèn)和丟失重傳等。如傳輸控制協(xié)議（TCP）、用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP）等，TCP和UDP給數(shù)據(jù)包加入傳輸數(shù)據(jù)并把它傳輸?shù)较乱粚又校@一層負(fù)責(zé)傳送數(shù)據(jù)，并且確定數(shù)據(jù)已被送達(dá)并接收。 互連網(wǎng)絡(luò)層：負(fù)責(zé)提供基本的數(shù)據(jù)封包傳送功能，讓每一塊數(shù)據(jù)包都能夠到達(dá)目的主機(jī)（但不檢查是否被正確接收），如網(wǎng)際協(xié)議（IP）。 網(wǎng)絡(luò)接口層（主機(jī)-網(wǎng)絡(luò)層）：接收IP數(shù)據(jù)報(bào)并進(jìn)行傳輸，從網(wǎng)絡(luò)上接收物理幀，抽取IP數(shù)據(jù)報(bào)轉(zhuǎn)交給下一層，對(duì)實(shí)際的網(wǎng)絡(luò)媒體的管理，定義如何使用實(shí)際網(wǎng)絡(luò)（如Ethernet、Serial Line等）來(lái)傳送數(shù)據(jù)。在源主機(jī)上，應(yīng)用層將一串應(yīng)用數(shù)據(jù)流傳送給傳輸層。傳輸層將應(yīng)用層的數(shù)據(jù)流截成分組，并加上TCP報(bào)頭形成TCP段，送交網(wǎng)絡(luò)層。在網(wǎng)絡(luò)層給TCP段加上包括源、目的主機(jī)IP地址的IP報(bào)頭，生成一個(gè)IP數(shù)據(jù)包，并將IP數(shù)據(jù)包送交鏈路層。鏈路層在其MAC幀的數(shù)據(jù)部分裝上IP數(shù)據(jù)包，再加上源、目的主機(jī)的MAC地址和幀頭，并根據(jù)其目的MAC地址，將MAC幀發(fā)往目的主機(jī)或IP路由器。在目的主機(jī)，鏈路層將MAC幀的幀頭去掉，并將IP數(shù)據(jù)包送交網(wǎng)絡(luò)層。網(wǎng)絡(luò)層檢查IP報(bào)頭，如果報(bào)頭中校驗(yàn)和與計(jì)算結(jié)果不一致，則丟棄該IP數(shù)據(jù)包；若校驗(yàn)和與計(jì)算結(jié)果一致，則去掉IP報(bào)頭，將TCP段送交傳輸層。傳輸層檢查順序號(hào)，判斷是否是正確的TCP分組，然后檢查T(mén)CP報(bào)頭數(shù)據(jù)。若正確，則向源主機(jī)發(fā)確認(rèn)信息；若不正確或丟包，則向源主機(jī)要求重發(fā)信息。在目的主機(jī)，傳輸層去掉TCP報(bào)頭，將排好順序的分組組成應(yīng)用數(shù)據(jù)流送給應(yīng)用程序。這樣目的主機(jī)接收到的來(lái)自源主機(jī)的字節(jié)流，就像是直接接收來(lái)自源主機(jī)的字節(jié)流一樣。第三章sniffer簡(jiǎn)介 3.1sniffer軟件簡(jiǎn)介 Sniffer軟件是NAI公司推出的功能強(qiáng)大的協(xié)議分析軟件。本文針對(duì)用Sniffer Pro網(wǎng)絡(luò)分析器進(jìn)行故障解決。利用Sniffer Pro 網(wǎng)絡(luò)分析器的強(qiáng)大功能和特征，解決網(wǎng)絡(luò)問(wèn)題，將介紹一套合理的故障解決方法。與Netxray比較，Sniffer支持的協(xié)議更豐富，例如PPPOE協(xié)議等在Netxray并不支持，在Sniffer上能夠進(jìn)行快速解碼分析。Netxray不能在Windows 2000和Windows XP上正常運(yùn)行，Sniffer Pro 4.6可以運(yùn)行在各種Windows平臺(tái)上。Sniffer軟件比較大，運(yùn)行時(shí)需要的計(jì)算機(jī)內(nèi)存比較大，否則運(yùn)行比較慢，這也是它與Netxray相比的一個(gè)缺點(diǎn)。3.2 Sniffer 工作原理 首先，要知道SNIFFER要捕獲的東西必須是要物理信號(hào)能收到的報(bào)文信息。顯然只要通知網(wǎng)卡接收其收到的所有包（一般叫作雜收promiscuous模式：指網(wǎng)絡(luò)上的所有設(shè)備都對(duì)總線(xiàn)上傳送的數(shù)據(jù)進(jìn)行偵聽(tīng)，并不僅僅是它們自己的數(shù)據(jù)。），在共享HUB下就能接收到這個(gè)網(wǎng)段的所有包，但是交換HUB下就只能是自己的包加上廣播包。 要想在交換HUB下接收別人的包，那就要讓其發(fā)往你的機(jī)器所在口。交換HUB記住一個(gè)口的MAC是通過(guò)接收來(lái)自這個(gè)口的數(shù)據(jù)后并記住其源MAC，就像一個(gè)機(jī)器的IP與MAC對(duì)應(yīng)的ARP列表，交換HUB維護(hù)一個(gè)物理口（就是HUB上的網(wǎng)線(xiàn)插口，這之后提到的所有HUB口都是指網(wǎng)線(xiàn)插口）與MAC的表，所以可以欺騙交換HUB的。可以發(fā)一個(gè)包設(shè)置源MAC是你想接收的機(jī)器的MAC，那么交換HUB就把你機(jī)器的網(wǎng)線(xiàn)插的物理口與那個(gè)MAC對(duì)應(yīng)起來(lái)了，以后發(fā)給那個(gè)MAC的包就發(fā)往你的網(wǎng)線(xiàn)插口了，也就是你的網(wǎng)卡可以SNIFFER到了。注意這物理口與MAC的表與機(jī)器的ARP表一樣是動(dòng)態(tài)刷新的，那機(jī)器發(fā)包后交換HUB就又記住他的口了，所以實(shí)際上是兩個(gè)在爭(zhēng)，這只能應(yīng)用在只要收聽(tīng)少量包就可以的場(chǎng)合。內(nèi)部網(wǎng)基于IP的通信可以用ARP欺騙別人機(jī)器讓其發(fā)送給你的機(jī)器，如果要想不影響原來(lái)兩方的通信，可以欺騙兩方，讓其都發(fā)給你的機(jī)器再由你的機(jī)器轉(zhuǎn)發(fā)，相當(dāng)于做中間人，這用ARP加上編程很容易實(shí)現(xiàn)。并且現(xiàn)在很多設(shè)備支持遠(yuǎn)程管理，有很多交換HUB可以設(shè)置一個(gè)口監(jiān)聽(tīng)別的口，不過(guò)這就要管理權(quán)限了。利用這一點(diǎn)，可以將一臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)連接設(shè)置為接受所有以太網(wǎng)總線(xiàn)上的數(shù)據(jù)，從而實(shí)現(xiàn)sniffer。Sniffer就是一種能將本地網(wǎng)卡狀態(tài)設(shè)成雜收狀態(tài)的軟件，當(dāng)網(wǎng)卡處于這種“雜收”方式時(shí)，該網(wǎng)卡具備“廣播地址”，它對(duì)遇到的每一個(gè)幀都產(chǎn)生一個(gè)硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該物理媒體上的每一個(gè)報(bào)文包。（絕大多數(shù)的網(wǎng)卡具備置成雜收方式的能力）可見(jiàn)，sniffer工作在網(wǎng)絡(luò)環(huán)境中的底層，它會(huì)攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過(guò)相應(yīng)的軟件處理，可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局。值得注意的是：sniffer是極其安靜的，它是一種消極的安全攻擊。嗅探器在功能和設(shè)計(jì)方面有很多不同。有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議。一般情況下，大多數(shù)的嗅探器至少能夠分析下面的協(xié)議：標(biāo)準(zhǔn)以太網(wǎng)、TCP/IP、IPX、DECNet。 3.3 sniffer的主要功能v 捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析v 利用專(zhuān)家分析系統(tǒng)診斷問(wèn)題v 實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng) v 收集網(wǎng)絡(luò)利用率和錯(cuò)誤等 3.4功能簡(jiǎn)介專(zhuān)家分析專(zhuān)家分分析系統(tǒng)提供了一個(gè)只能的分析平臺(tái)，對(duì)網(wǎng)絡(luò)上的流量進(jìn)行了一些分析對(duì)于分析出的診斷結(jié)果可以查看在線(xiàn)幫助獲得。在下圖中顯示出在網(wǎng)絡(luò)中WINS查詢(xún)失敗的次數(shù)及TCP重傳的次數(shù)統(tǒng)計(jì)等內(nèi)容，可以方便了解網(wǎng)絡(luò)中高層協(xié)議出現(xiàn)故障的可能點(diǎn)。對(duì)于某項(xiàng)統(tǒng)計(jì)分析可以通過(guò)用鼠標(biāo)雙擊此條記錄可以查看詳細(xì)統(tǒng)計(jì)信息且對(duì)于每一項(xiàng)都可以通過(guò)查看幫助來(lái)了解起產(chǎn)生的原因。解碼分析對(duì)捕獲報(bào)文進(jìn)行解碼的顯示，通常分為三部分，目前大部分此類(lèi)軟件結(jié)構(gòu)都采用這種結(jié)構(gòu)顯示。對(duì)于解碼主要要求分析人員對(duì)協(xié)議比較熟悉，這樣才能看懂解析出來(lái)的報(bào)文。使用該軟件是很簡(jiǎn)單的事情，要能夠利用軟件解碼分析來(lái)解決問(wèn)題關(guān)鍵是要對(duì)各種層次的協(xié)議了解的比較透徹。工具軟件只是提供一個(gè)輔助的手段。因涉及的內(nèi)容太多，這里不對(duì)協(xié)議進(jìn)行過(guò)多講解，請(qǐng)參閱其他相關(guān)資料。對(duì)于MAC地址，Snffier軟件進(jìn)行了頭部的替換，如00e0fc開(kāi)頭的就替換成Huawei，這樣有利于了解網(wǎng)絡(luò)上各種相關(guān)設(shè)備的制造廠(chǎng)商信息。功能是按照過(guò)濾器設(shè)置的過(guò)濾規(guī)則進(jìn)行數(shù)據(jù)的捕獲或顯示。在菜單上的位置分別為 Capture-Define Filter和Display-Define Filter。過(guò)濾器可以根據(jù)物理地址或IP地址和協(xié)議選擇進(jìn)行組合篩選。統(tǒng)計(jì)分析對(duì)于Matrix，Host Table，Portocol Dist. Statistics等提供了豐富的按照地址，協(xié)議等內(nèi)容做了豐富的組合統(tǒng)計(jì)，比較簡(jiǎn)單，可以通過(guò)操作很快掌握這里就不再詳細(xì)介紹了。2.4 設(shè)置捕獲條件基本捕獲條件基本的捕獲條件有兩種：1、鏈路層捕獲，按源MAC和目的MAC地址進(jìn)行捕獲，輸入方式為十六進(jìn)制連續(xù)輸入，如：00E0FC123456。2、IP層捕獲，按源IP和目的IP進(jìn)行捕獲。輸入方式為點(diǎn)間隔方式，如：。如果選擇IP層捕獲條件則ARP等報(bào)文將被過(guò)濾掉。高級(jí)捕獲條件在“Advance”頁(yè)面下，你可以編輯你的協(xié)議捕獲條件，高級(jí)捕獲條件編輯圖在協(xié)議選擇樹(shù)中你可以選擇你需要捕獲的協(xié)議條件，如果什么都不選，則表示忽略該條件，捕獲所有協(xié)議。在捕獲幀長(zhǎng)度條件下，你可以捕獲，等于、小于、大于某個(gè)值的報(bào)文。在錯(cuò)誤幀是否捕獲欄，你可以選擇當(dāng)網(wǎng)絡(luò)上有如下錯(cuò)誤時(shí)是否捕獲。在保存過(guò)濾規(guī)則條件按鈕“Profiles”，你可以將你當(dāng)前設(shè)置的過(guò)濾規(guī)則，進(jìn)行保存，在捕獲主面板中，你可以選擇你保存的捕獲條件。任意捕獲條件在Data Pattern下，你可以編輯任意捕獲條件，如下圖：用這種方法可以實(shí)現(xiàn)復(fù)雜的報(bào)文過(guò)濾，但很多時(shí)候是得不償失，有時(shí)截獲的報(bào)文本就不多，還不如自己看看來(lái)得快。 第四章 EMAIL協(xié)議 4.1 Email 簡(jiǎn)介 郵件服務(wù)是Internet上最常用的服務(wù)之一，它提供了與操作系統(tǒng)平臺(tái)無(wú)關(guān)的通信服務(wù)，使用郵件服務(wù)，用戶(hù)可通過(guò)電子郵件在網(wǎng)絡(luò)之間交換數(shù)據(jù)信息。郵件傳輸包括將郵件從發(fā)送者客戶(hù)端發(fā)往郵件服務(wù)器，以及接收者從郵件服務(wù)器將郵件取回到接收者客戶(hù)端。 4.2 SMTP和POP3 在TCP/IP協(xié)議簇中，一般使用SMTP協(xié)議發(fā)送郵件，POP3協(xié)議接收郵件。SMTP，全稱(chēng)Simple Message Transfer Protocol，中文名為簡(jiǎn)單郵件傳輸協(xié)議，工作在TCP/IP層次的應(yīng)用層。SMTP采用Client/Server工作模式，默認(rèn)使用TCP 25端口，提供可靠的郵件發(fā)送服務(wù)。POP3，全稱(chēng)Post Office Protocol 3，中文名為第三版郵局協(xié)議，工作在TCP/IP層次的應(yīng)用層。POP3采用Client/Server工作模式，默認(rèn)使用TCP 110端口，提供可靠的郵件接收服務(wù)。 4.3 實(shí)驗(yàn)環(huán)境 我們使用sniffer網(wǎng)絡(luò)分析軟件捕獲并分析一個(gè)使用SMTP協(xié)議的發(fā)送郵件過(guò)程，客戶(hù)端主機(jī)名為“xuanxuan”，客戶(hù)端用戶(hù)代理使用Foxmail 6.5 ，郵件發(fā)送者676624157QQ.com，郵件接收者。在sniffer網(wǎng)絡(luò)分析軟件中開(kāi)始數(shù)據(jù)捕獲，在Foxmail中使用676624157QQ.com向發(fā)送一封郵件，郵件原始信息如圖4-1所示。發(fā)送完成后即可在sniffer網(wǎng)絡(luò)分析軟件對(duì)剛才的郵件發(fā)送操作進(jìn)行分析。 圖4-1（原始郵件） 圖4-2 （郵件發(fā)送數(shù)據(jù)包） 4.4 STMP數(shù)據(jù)包分析圖4-2所示的是sniffer網(wǎng)絡(luò)抓包軟件對(duì)上面發(fā)送郵件操作的報(bào)文跟蹤，詳細(xì)信息如下： 1. 第1、2個(gè)數(shù)據(jù)包是本地主機(jī)向域名服務(wù)器請(qǐng)求域名解析的一個(gè)過(guò)程，本地的IP是1，域名服務(wù)器的IP是8。2. 第3、4、5個(gè)數(shù)據(jù)包是TCP連接的三次握手?jǐn)?shù)據(jù)包，連接的雙方是本機(jī)1與域名SMTPQQ.com對(duì)應(yīng)的IP地址47。 3. 從第6個(gè)數(shù)據(jù)包開(kāi)始，服務(wù)端已經(jīng)準(zhǔn)備好郵件接收的準(zhǔn)備，客戶(hù)端開(kāi)始通過(guò)TCP協(xié)議連接POP3服務(wù)器，并與POP3服務(wù)器進(jìn)行命令的交互。4. 第7到18個(gè)數(shù)據(jù)包是發(fā)件方問(wèn)候收件方，使用的是HELO命令，后面所跟的參數(shù)是發(fā)件方的服務(wù)器地址這里的是xuanxuan表示本地標(biāo)識(shí)（如第7行），客戶(hù)端發(fā)送此命令與SMTP服務(wù)器建立連接，將發(fā)送者郵件地址發(fā)送給SMTP服務(wù)器 ，第18行表示收件方和發(fā)件方已經(jīng)建立連接成功。5. 第19到21個(gè)數(shù)據(jù)包是表明開(kāi)始傳送郵件，MAIL這個(gè)命令后面所跟的參數(shù)是發(fā)件方的郵箱地址這里的是676624157QQ.com（如第19行），它的作用還有當(dāng)郵件無(wú)法到達(dá)時(shí)，發(fā)送失敗通知。第21行表明郵件的地址已經(jīng)通過(guò)收件方服務(wù)器的認(rèn)證。6. 第22-24個(gè)數(shù)據(jù)包是告訴收件方的郵箱地址。當(dāng)有多個(gè)收件地址的時(shí)候需要多次使用該命令，這里如（如圖4-2第22行）第24個(gè)數(shù)據(jù)包表明SMTP.QQ.COM服務(wù)器同意轉(zhuǎn)發(fā)該地址（）。7. 第25-27個(gè)數(shù)據(jù)包是表明發(fā)送方發(fā)送的數(shù)據(jù)的過(guò)程，當(dāng)遇到.行表明數(shù)據(jù)傳輸結(jié)束（如圖4-2第27個(gè)數(shù)據(jù)包）。8. 第28個(gè)數(shù)據(jù)包的結(jié)夠如圖4-3，它傳送到內(nèi)容是郵件的一些基本信息（發(fā)送時(shí)間：2010.11.12 - 9：33：35 發(fā)件方地址：676624157 主題內(nèi)容：是一些加了密的編碼 MIME版本：1.0版 圖第8行是mime使用的是 multiparty/alternative內(nèi)容類(lèi)型 圖4-39. 第30個(gè)數(shù)據(jù)包的結(jié)構(gòu)如圖4-4，它定義一些郵件正文的一些屬性編碼信息和一些加通過(guò)編碼的數(shù)據(jù)。 圖4-410. 第33個(gè)數(shù)據(jù)包標(biāo)志著整個(gè)郵件發(fā)送已經(jīng)結(jié)束。4.5 SMTP郵件接收郵件 圖4-5（郵件接收過(guò)程）圖4-5所示的是sniffer網(wǎng)絡(luò)分析系統(tǒng)對(duì)上面接收郵件操作包的跟蹤，以下是具體包的分析：1. 第1、2個(gè)數(shù)據(jù)包是本地主機(jī)向域名服務(wù)器請(qǐng)求域名解析的一個(gè)過(guò)程 ，本地的IP是1，域名服務(wù)器的IP是8。2. 第3、4、5個(gè)數(shù)據(jù)包是TCP連接的三次握手?jǐn)?shù)據(jù)包，連接的雙方是本機(jī)1與域名pop3.163.idns.yeah,.net建立連接。3. 第6個(gè)數(shù)據(jù)包表示pop3.163.idns.yeah,net服務(wù)器向本機(jī)發(fā)送一個(gè)連接確認(rèn)消息，表示連接成功。4. 第7，8，9，10，11個(gè)數(shù)據(jù)包是本機(jī)1 使用user命令，將用戶(hù)帳號(hào)dpeixuan發(fā)送給服務(wù)器，第8，9個(gè)數(shù)據(jù)包是pop3服務(wù)器返回確認(rèn)數(shù)據(jù)包，第10個(gè)數(shù)據(jù)包是本機(jī)發(fā)送的pass命令攜帶的是密碼，第11個(gè)數(shù)據(jù)包是pop3服務(wù)器，根據(jù)本機(jī)發(fā)送的賬戶(hù)和密碼，返回的確認(rèn)數(shù)據(jù)包，表示本機(jī)可以訪(fǎng)問(wèn)本地主機(jī)指定的郵箱信息。 5. 第12個(gè)數(shù)據(jù)包是本機(jī)向POP3服務(wù)器發(fā)送STAT命令，請(qǐng)求POP3服務(wù)器返回郵箱的統(tǒng)計(jì)信息，第13個(gè)數(shù)據(jù)包是POP3服務(wù)器接收到本機(jī)的STAT命令返回的，相關(guān)數(shù)據(jù)信息。6. 第14個(gè)數(shù)據(jù)包是本機(jī)向POP3服務(wù)器發(fā)送UIDL命令要求POP3返回郵件的唯一標(biāo)識(shí)符，第15.16.個(gè)數(shù)據(jù)包是POP3服務(wù)器返回的郵件的唯一標(biāo)識(shí)，17是POP3返回的確認(rèn)數(shù)據(jù)包。7. 第18個(gè)數(shù)據(jù)包是本機(jī)發(fā)送的LIST命令，要求POP服務(wù)器返回郵件的數(shù)量和每個(gè)郵件的大小。第19個(gè)數(shù)據(jù)包是POP3服務(wù)器返回的本機(jī)請(qǐng)求的信息，本郵箱共有63封郵件，和各個(gè)郵件的大小。圖4-68. 第20個(gè)數(shù)據(jù)包是本機(jī)向服務(wù)器發(fā)送RETR命令，要求服務(wù)器返回RETR 命令所標(biāo)識(shí)的第68封郵件，第21數(shù)據(jù)包是服務(wù)器返回的確認(rèn)數(shù)據(jù)包，表示服務(wù)器已經(jīng)接收命令，第22個(gè)數(shù)據(jù)包是顯示的是第68封郵件的基本描述信息，第23個(gè)數(shù)據(jù)包是本機(jī)發(fā)送的確認(rèn)數(shù)據(jù)包，第24和25個(gè)數(shù)據(jù)包是郵件明碼顯示的內(nèi)容，如圖4-6所示，第26.27個(gè)數(shù)據(jù)包是本機(jī)向服務(wù)器發(fā)送的確認(rèn)數(shù)據(jù)包，和QUIT命令當(dāng)POP3服務(wù)器接收的此命令后會(huì)斷開(kāi)和客戶(hù)機(jī)的連接。4.6 分析結(jié)論以上簡(jiǎn)單介紹了SMTP和POP3協(xié)議，并使用sniffer網(wǎng)絡(luò)分析分析系統(tǒng)，跟蹤分析了一個(gè)基于SMTP/POP3協(xié)議的郵件收發(fā)操作。據(jù)此，用戶(hù)在遇到不能正常收發(fā)郵件（使用SMTP/POP3協(xié)議）的問(wèn)題時(shí)，即可結(jié)合上述的SMTP/POP3相關(guān)知識(shí)，使用網(wǎng)絡(luò)檢測(cè)分析軟件（這兒是sniffer網(wǎng)絡(luò)分析系統(tǒng)）對(duì)郵件接收和郵件發(fā)送的報(bào)文進(jìn)行跟蹤分析，以完成對(duì)此類(lèi)故障的快速排查。 第五章 HTTP協(xié)議5.1 HTTP協(xié)議概述 HTTP是一個(gè)客戶(hù)端和服務(wù)器端請(qǐng)求和應(yīng)答的標(biāo)準(zhǔn)（TCP）。客戶(hù)端是終端用戶(hù)，服務(wù)器端是網(wǎng)站。通過(guò)使用Web瀏覽器、網(wǎng)絡(luò)爬蟲(chóng)或者其它的工具，客戶(hù)端發(fā)起一個(gè)到服務(wù)器上指定端口（默認(rèn)端口為80）的HTTP請(qǐng)求。（我們稱(chēng)這個(gè)客戶(hù)端）叫用戶(hù)代理（user agent）。應(yīng)答的服務(wù)器上存儲(chǔ)著（一些）資源，比如HTML文件和圖像。（我們稱(chēng)）這個(gè)應(yīng)答服務(wù)器為源服務(wù)器（origin server）。在用戶(hù)代理和源服務(wù)器中間可能存在多個(gè)中間層，比如代理，網(wǎng)關(guān)，或者隧道（tunnels）。盡管TCP/IP協(xié)議是互聯(lián)網(wǎng)上最流行的應(yīng)用，HTTP協(xié)議并沒(méi)有規(guī)定必須使用它和（基于）它支持的層。 事實(shí)上，HTTP可以在任何其他互聯(lián)網(wǎng)協(xié)議上，或者在其他網(wǎng)絡(luò)上實(shí)現(xiàn)。HTTP只假定（其下層協(xié)議提供）可靠的傳輸，任何能夠提供這種保證的協(xié)議都可以被其使用。5.2 HTTP協(xié)議的工作模式HTTP協(xié)議是基于請(qǐng)求響應(yīng)范式的。一個(gè)客戶(hù)機(jī)與服務(wù)器建立連接后，發(fā)送一個(gè)請(qǐng)求給服務(wù)器，請(qǐng)求方式的格式為，統(tǒng)一資源標(biāo)識(shí)符、協(xié)議版本號(hào)，后邊是MIME信息包括請(qǐng)求修飾符、客戶(hù)機(jī)信息和可能的內(nèi)容。服務(wù)器接到請(qǐng)求后，給予相應(yīng)的響應(yīng)信息，其格式為一個(gè)狀態(tài)行包括信息的協(xié)議版本號(hào)、一個(gè)成功或錯(cuò)誤的代碼，后邊是MIME信息包括服務(wù)器信息、實(shí)體信息和可能的內(nèi)容。許多HTTP通訊是由一個(gè)用戶(hù)代理初始化的并且包括一個(gè)申請(qǐng)?jiān)谠捶?wù)器上資源的請(qǐng)求。最簡(jiǎn)單的情況可能是在用戶(hù)代理(UA)和源服務(wù)器(O)之間通過(guò)一個(gè)單獨(dú)的連接來(lái)完成。當(dāng)一個(gè)或多個(gè)中介出現(xiàn)在請(qǐng)求響應(yīng)鏈中時(shí)，情況就變得復(fù)雜一些。中介由三種：代理(Proxy)、網(wǎng)關(guān)(Gateway)和通道(Tunnel)。一個(gè)代理根據(jù)URI的絕對(duì)格式來(lái)接受請(qǐng)求，重寫(xiě)全部或部分消息，通過(guò)URI的標(biāo)識(shí)把已格式化過(guò)的請(qǐng)求發(fā)送到服務(wù)器。網(wǎng)關(guān)是一個(gè)接收代理，作為一些其它服務(wù)器的上層，并且如果必須的話(huà)，可以把請(qǐng)求翻譯給下層的服務(wù)器協(xié)議。 5.3 HTTP協(xié)議的特點(diǎn) 從上述HTTP協(xié)議的工作模式可以看出HTTP協(xié)議具有如下主要特點(diǎn)：（1） 支持客戶(hù)/服務(wù)器模式（2） 簡(jiǎn)捷快速：客戶(hù)機(jī)向服務(wù)器請(qǐng)求時(shí)，只需傳送請(qǐng)求方法和路徑。請(qǐng)求方法常用的有GET，HEAD，POST。每種方法規(guī)定了客戶(hù)機(jī)和服務(wù)器聯(lián)系的類(lèi)型不同。由于HTTP協(xié)議的簡(jiǎn)單使得HTTP服務(wù)器的程序規(guī)模小，因而通信速度很快。（3） 靈活：無(wú)連接的含義是限制每次連接至處理一個(gè)請(qǐng)求。服務(wù)器處理完客戶(hù)機(jī)的請(qǐng)求，并收到客戶(hù)機(jī)的應(yīng)答后，即斷開(kāi)連接。（4） 無(wú)連接（5） 無(wú)狀態(tài)5.4 HTTP協(xié)議通信過(guò)程 當(dāng)我們?cè)跒g覽器的地址欄輸入“”然后按回車(chē)，這之后發(fā)生了什么事，我們直接看到的是打開(kāi)了對(duì)應(yīng)的網(wǎng)頁(yè)，那么內(nèi)部客戶(hù)端和服務(wù)端是如何通信的呢？下面就詳細(xì)介紹一下HTTP工作的過(guò)程 1、URL自動(dòng)解析 HTTP URL包含了用于查找某個(gè)資源的足夠信息，基本格式如下：HTTP:/host“:”portabs_path，其中HTTP表示桶蓋HTTP協(xié)議來(lái)定位網(wǎng)絡(luò)資源；host表示合法的主機(jī)域名或IP地址，port指定一個(gè)端口號(hào)，缺省80；abs_path指定請(qǐng)求資源的URI；如果URL中沒(méi)有給出abs_path，那么當(dāng)它作為請(qǐng)求URI時(shí)，必須以“/”的形式給出，通常這個(gè)工作瀏覽器自動(dòng)幫我們完成。 2、獲取IP，建立TCP連接 瀏覽器地址欄中輸入HTTP://并提交之后，首先它會(huì)在DNS本地緩存表中查找，如果有則直接告訴IP地址。如果沒(méi)有則要求網(wǎng)關(guān)DNS進(jìn)行查找，如此下去，找到對(duì)應(yīng)的IP后，則返回會(huì)給瀏覽器。 當(dāng)獲取IP之后，就開(kāi)始與所請(qǐng)求的Tcp建立三次握手連接，連接建立后，就向服務(wù)器發(fā)出HTTP請(qǐng)求。3、客戶(hù)端瀏覽器向服務(wù)器發(fā)出HTTP請(qǐng)求 一旦建立了TCP連接，Web瀏覽器就會(huì)向Web服務(wù)器發(fā)送請(qǐng)求命令，接著以頭信息的形式向Web服務(wù)器發(fā)送一些別的信息，之后瀏覽器發(fā)送了一空白行來(lái)通知服務(wù)器，它已經(jīng)結(jié)束了該頭信息的發(fā)送。4、Web服務(wù)器應(yīng)答，并向?yàn)g覽器發(fā)送數(shù)據(jù) 客戶(hù)機(jī)向服務(wù)器發(fā)出請(qǐng)求后，服務(wù)器會(huì)客戶(hù)機(jī)回送應(yīng)答， HTTP/1.1 200 OK 應(yīng)答的第一部分是協(xié)議的版本號(hào)和應(yīng)答狀態(tài)碼，正如客戶(hù)端會(huì)隨同請(qǐng)求發(fā)送關(guān)于自身的信息一樣，服務(wù)器也會(huì)隨同應(yīng)答向用戶(hù)發(fā)送關(guān)于它自己的數(shù)據(jù)及被請(qǐng)求的文檔。 Web服務(wù)器向?yàn)g覽器發(fā)送頭信息后，它會(huì)發(fā)送一個(gè)空白行來(lái)表示頭信息的發(fā)送到此為結(jié)束，接著，它就以Content-Type應(yīng)答頭信息所描述的格式發(fā)送用戶(hù)所請(qǐng)求的實(shí)際數(shù)據(jù) 5、Web服務(wù)器關(guān)閉TCP連接 一般情況下，一旦Web服務(wù)器向?yàn)g覽器發(fā)送了請(qǐng)求數(shù)據(jù)，它就要關(guān)閉TCP連接，然后如果瀏覽器或者服務(wù)器在其頭信息加入了這行代碼 Connection:keep-alive  TCP連接在發(fā)送后將仍然保持打開(kāi)狀態(tài)，于是，瀏覽器可以繼續(xù)通過(guò)相同的連接發(fā)送請(qǐng)求。保持連接節(jié)省了為每個(gè)請(qǐng)求建立新連接所需的時(shí)間，還節(jié)約了網(wǎng)絡(luò)帶寬。 圖5-15.5實(shí)驗(yàn)環(huán)境 本實(shí)用是使用與瀏覽器訪(fǎng)問(wèn)百度的過(guò)程，圖5-1是用sniffer抓包工具抓獲得本機(jī)1訪(fǎng)問(wèn)過(guò)程中捕獲的數(shù)據(jù)包下面我們來(lái)詳細(xì)分析HTTP的請(qǐng)求和響應(yīng)信息的數(shù)據(jù)包內(nèi)容和工作過(guò)程。圖5-25.6數(shù)據(jù)包詳細(xì)分析圖5-2是第一個(gè)數(shù)據(jù)包的內(nèi)容如: 1 GET / HTTP/1.12Accept:fapplication/xml.application/xhtml+xml.text/html;/客戶(hù)端可識(shí)別的內(nèi)容類(lèi)型列表。 3 Accept-Language: zh-cn 客戶(hù)端所能解釋的語(yǔ)言：簡(jiǎn)體中文5 Accept-Encoding: gzip, deflate 客戶(hù)端可以解釋的類(lèi)型6 User-Agent: Mozilla/5.0客戶(hù)端瀏覽器型號(hào)7 Host: / 提交請(qǐng)求頁(yè)面8 Connection: Keep-Alive TCP連接保持打開(kāi)9Accept-Charset請(qǐng)求報(bào)頭域用于指定客戶(hù)端接受的字符集10 請(qǐng)求方法URI協(xié)議/版本：以上代碼第1行“GET”表示請(qǐng)求方法，“HTTP/1.1代表協(xié)議和協(xié)議的版本，HTTP請(qǐng)求可以使用多種請(qǐng)求方法，最常用的為GET和POST方法請(qǐng)求頭：2-9行，包含許多有關(guān)客戶(hù)端環(huán)境和請(qǐng)求正文的有用信息。 空行 ：10行 請(qǐng)求頭和請(qǐng)求正文之間是一個(gè)空行，這個(gè)行非常重要，表示請(qǐng)求頭已經(jīng)結(jié)束，接下來(lái)是正文，這個(gè)行非常重要，它表示請(qǐng)求頭已經(jīng)結(jié)束，接下來(lái)是請(qǐng)求正文。請(qǐng)求正文中可以包含客戶(hù)提交的查詢(xún)字符串信息，如用戶(hù)名和密碼等。這里沒(méi)有。 這里有一點(diǎn)值得說(shuō)明的是:請(qǐng)求方法中的GET和POST方法；GET方法是默認(rèn)的HTTP請(qǐng)求方法，我們?nèi)粘Ｓ肎ET方法來(lái)提交表單數(shù)據(jù)，然而用GET方法提交的表單數(shù)據(jù)只經(jīng)過(guò)了簡(jiǎn)單的編碼，同時(shí)它將作為URL的一部分向Web服務(wù)器發(fā)送，因此，如果使用GET方法來(lái)提交表單數(shù)據(jù)就存在著安全隱患上，同時(shí)這個(gè)URL長(zhǎng)度還有限制，不允許超過(guò)1k。POST方法是GET方法的一個(gè)替代方法，它主要是向Web服務(wù)器提交表單數(shù)據(jù)，尤其是大批量的數(shù)據(jù)。POST方法克服了GET方法的一些缺點(diǎn)。通過(guò)POST方法提交表單數(shù)據(jù)時(shí)，數(shù)據(jù)不是作為URL請(qǐng)求的一部分而是作為標(biāo)準(zhǔn)數(shù)據(jù)傳送給Web服務(wù)器，這就克服了GET方法中的信息無(wú)法保密和數(shù)據(jù)量太小的缺點(diǎn)。因此，出于安全的考慮以及對(duì)用戶(hù)隱私的尊重，通常表單提交時(shí)采用POST方法。HTTP協(xié)議服務(wù)器響應(yīng)數(shù)據(jù)包圖5-3圖5-3的第3個(gè)數(shù)據(jù)包它是一個(gè)響應(yīng)數(shù)據(jù)包具體內(nèi)容如下: 1HTTP/1.1 200 OK2Cache-Control: private, max-age=03Date: Fri, 27 Feb 2009 07:53:36 GMT4Expires: Sat ,13 Nov 2010 06:39:35 GMT5Content-Type: text/html; charset=gb23127Content-Encoding: gzip 8Server: BWS/1.09Transfer-Encoding: chunked 該響應(yīng)信息也以對(duì)應(yīng)的4部分組成： l協(xié)議狀態(tài)描述，HTTP/1.1表示協(xié)議版本，200 OK表示服務(wù)器已經(jīng)成功處理了客戶(hù)端發(fā)出的請(qǐng)求。200表示HTTP的應(yīng)答碼成功。HTTP應(yīng)答碼由3位數(shù)字構(gòu)成，其中首位數(shù)字定義了應(yīng)答碼的類(lèi)型： 1XX信息類(lèi)(Information),表示收到Web瀏覽器請(qǐng)求，正在進(jìn)一步的處理中 2XX成功類(lèi)（Successful）,表示用戶(hù)請(qǐng)求被正確接收，理解和處理例如：200 OK 3XX-重定向類(lèi)(Redirection),表示請(qǐng)求沒(méi)有成功，客戶(hù)必須采取進(jìn)一步的動(dòng)作。 4XX-客戶(hù)端錯(cuò)誤(Client Error)，表示客戶(hù)端提交的請(qǐng)求有錯(cuò)誤 例如：404 NOT Found，意味著請(qǐng)求中所引用的文檔不存在。5XX-服務(wù)器錯(cuò)誤(Server Error)表示服務(wù)器不能完成對(duì)請(qǐng)求的處理：如 500 Date: /響應(yīng)報(bào)文的時(shí)間 Server: /響應(yīng)報(bào)文的服務(wù)器 Content-Length: /表明實(shí)體的長(zhǎng)度 Connection: /告訴客戶(hù)機(jī)在報(bào)文發(fā)送完畢后連接的狀態(tài) Content-Type: /表明實(shí)體中的對(duì)象類(lèi)型(html文檔) 響應(yīng)頭：跟請(qǐng)求頭一樣，它指出服務(wù)器的功能，標(biāo)識(shí)出響應(yīng)數(shù)據(jù)的細(xì)節(jié)。空行：也是屬于響應(yīng)頭和響應(yīng)正文之間必須存在的一個(gè)空行，表示響應(yīng)頭結(jié)束，接下來(lái)是響應(yīng)正文5.7分析結(jié)論第六章FTP協(xié)議6.1 ftp協(xié)議簡(jiǎn)介FTP是一個(gè)8位的客戶(hù)端-服務(wù)器協(xié)議，能操作任何類(lèi)型的文件而不需要進(jìn)一步處理，就像MIME或Unencode一樣。但是，F(xiàn)TP有著極高的延時(shí)，這意味著，從開(kāi)始請(qǐng)求到第一次接收需求數(shù)據(jù)之間的時(shí)間會(huì)非常長(zhǎng)，并且不時(shí)的必需執(zhí)行一些冗長(zhǎng)的登陸進(jìn)程。 FTP服務(wù)一般運(yùn)行在20和21兩個(gè)端口。端口20用于在客戶(hù)端和服務(wù)器之間傳輸數(shù)據(jù)流，而端口21用于傳輸控制流，并且是命令通向ftp服務(wù)器的進(jìn)口。當(dāng)數(shù)據(jù)通過(guò)數(shù)據(jù)流傳輸時(shí)，控制流處于空閑狀態(tài)。而當(dāng)控制流空閑很長(zhǎng)時(shí)間后，客戶(hù)端的防火墻會(huì)將其會(huì)話(huà)置為超時(shí)，這樣當(dāng)大量數(shù)據(jù)通過(guò)防火墻時(shí)，會(huì)產(chǎn)生一些問(wèn)題。此時(shí)，雖然文件可以成功的傳輸，但因?yàn)榭刂茣?huì)話(huà)會(huì)被防火墻斷開(kāi)，傳