




已阅读5页,还剩11页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
应用层网络协议分析样本 应用层网络协议分析网页访问的协议分析在协议模型中,应用层是用户与计算机进行实际通信的地方,只有当马上就要访问网络时,才会实际上用到这一层。 例如,我们能够从系统中卸载掉任何联网组件,如TCP/IP、网卡(NIC)等,仍能够使用E IE来浏览本地的L HTML文档。 可如果我们试图浏览必须使用P 的文档,或者用用P FTP下载一个文件,事情就没那么容易了。 此时,E IE将尝试访问应用层来响应这一类请求。 因此,应用层也可被看作是实际应用程序和下一层(I OSI模型中为表示层,P TCP/IP模型中为传输层)之间的接口,它通过某种方式把应用程序的有关信息送到协议栈的下面各层。 应用层协议则是实现用户和系统之间接口的工具,用户可通过这些协议方便地访问网络资源,实现信息共享,P 则是其中一种。 P (超文本传输协议)是客户端浏览器或其它程序与b Web服务器之间的应用层通信协议。 在在t Inter上的b Web服务器上存放的都是超文本信息,客户机需要通过P 协议传输所要访问的超文本信息。 P 包含命令和传输信息,不仅可用于b Web访问,也能够用于其它因特网/本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 内联网应用系统之间的通信,从而实现各类应用资源超媒体访问的集成。 HTP TP是基于请求/响应方式的。 它的运作方式很简单:一个客户机与服务器建立连接后,发送一个请求给服务器,服务器接到请求后,给予相应的响应报文。 其中,“客户”与“服务器”是一个相对的概念,只存在于一个特定的连接期,间,即在某个连接中的客户在另一个连接中可能作为服务器。 因此,当网络中的任一台拥有可被访问的页面的计算机被其它计算机访问时,它便的是服务器,而当它访问其它浏览非本地的文档时,它便是客户端。 因此,我们能够在局域网中搭建简单的环境来观察分析访问P 的工作流程。 最简单的情况可能是在用户和服务器之间通过一个单独的连接来完成,如图11-1:图图11-11根据图连接好以及配好相应P IP后,测试网络互通。 而后,在在r server上建立P 服务器。 首先在控制面板添加删除程序添加删除本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 s Windows组件中查看t Inter信息服务(IIS)是否装上,若没有则安装,若安装好,则能够进入管理工具t Inter服务管理器,在默认WEB站点下建立自己的站点及目录。 而后,在client浏览器地址栏中键入。 在此过程中,我们通过l Ethereal所抓的数据包如下: 11、数据链路层:Frame14(334by teson wire,334bytes captured)表示第414个帧,传输4334个字节,捕获获4334个字节,包中的Frame Number:14Packet Length:334bytes CaptureLength:334bytes也指明该帧是第414帧,传输4334字节,捕获获4334字节。 本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 Protocols in frame:eth:ip:tcp:可看出所封装的层结构:应用层用的是P 协议,传输层用的是P TCP协议,网络层用的是P IP协议。 Color ingRule StringName:Coloring RuleString:|=80从这里我们能够知道,P 对应的TCP端口号为80。 在在P TCP和和P UDP中,都采用了t16bit端口号来识别应用程序。 其中,低于41024的端口号被由称为众所周知的端口号,它们由2RFC3232所定义,大于等于41024的端口号被上层用来建立与其它主机的会话,并且在P TCP数据段中被P TCP用来作为源方和目的方的地址,具体将在下面传输层中分析。 22、以太网帧:从以太网帧中,我们能够看到,目的的MAC本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 地址为:00:16:d3:ee:0e:3f,源C MAC地址为:00:01:02:28:1a:34。 M Multicast:This isa UNICATframe表示是单播帧。 T TPype:IP(0x0800)表示帧中封装了P IP分组,若若e Type为为60x0806表示帧中封装了P ARP分组,这两种帧的分组会被取出,并交付给相应的子程序。 33、P IP包:Inter Protocol,Src:(),Dst:()可了解目地P IP和源IP,此包是t client端向r server发送的p ,请求报文,所以,。 Version:4表示版本44。 6IPv6的版本号为66。 Header length:20bytes首部长为20本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 字节。 它是以B4B为单位进行计数的,该字段是可变的,当没有选项时,首部长为20B,对应该字段值为55;当有选项时,该字段最大值为15,对应B60B的首部长度。 Differentiated ServicesField:0x00(DSCP0x00:Default;E:0x00)表示服务类型。 不同的应用有不同的服务质量要求,该字段则是体现网络层的P IP分组有不同的服务类型,但在大多数的P TCP/IP实现中并不支持服务类型,因此这些位置都为00,路由器也会忽略该字段。 Total Length:320表示IP数据包的总长度为0320字节。 Identification:0x0432 (1074)标识位,在系统范围内,每发出一个P IP包,其值自动增加加11。 Flags:0x04(Dont Fragment)表示没有分段。 保留位1:1位不分段1(DF,Dont Fragment):1位更多段(M1F,More Fragments):1位Fragment offset:0表示分段偏移为00。 本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 Time tolive:128生命周期值,当每经过11个路由器,其值自动减11。 Protocol:TCP(0x06)负载协议,表示P IP数据包负载的协议。 Header checksum3:0xb783correct首部校验和,只对分组的首部进行校验,而不对分组的数据进行校验。 S Source:()表示源源P IP地址。 Destination:()表示目的P IP地址。 44、P TCP报文:在在P 工作开始之前,b Web浏览器首先要通过网络与b Web服务器建立连接,该连接是通过P TCP来完成的,该协议与P IP协议共同构建Inter,即著名的P TCP/IP协议族,因此t Inter又被称作是P TCP/IP网络。 P 是比P TCP更高层次的应用层协议,根据规则,只有低层协议建立之后才能,才能进行更层协议的连接,因此,首先要建立P TCP连接,一般P TCP连接的端口号是80。 通过数据包,我们也可清楚地了解到P TCP连接的建立: (11)N SYN报文:本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 该报文由t client发起,Sequ encenumber:0表示客户端向服务器端发送数据时的第一个数据字节的序号就是00。 t Client建立的源端口号为1102,请求的是p 服务(目的端口为80)。 Flags:0x0002(SYN)该标志位表示了这是一个N SYN报文,可看到S SNYN位置11,而K ACK位置00,这表明这是一个p tcp连接请求。 (22)K SYN+ACK报文:此报文为服r server同意接受连接时,向t client发回的报文,用于回应t client的建立连接的请求。 Sequenen number:0表示r server向t client发送数据时第一个数据字节的序号为00。 p Tcp的通信的全双工的,在每个方向上的编号是本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 独立的。 1Acknowledgement number:1为确认号字段,表明r server下一个要接受的报文段中第一个数据字节的编号。 该报文段的标志位变成了Flags:0x00012(SYN,ACK),表示这是一个K SYN+ACK报文,可看到S SNYN位置11,K ACK位置11,这表明服务器端接受连接,则使用N SYN位和ACK位作为应答来回应客户端的连接请求。 (33)K ACK报文:这是由t client发送的确认报文,Sequence number:11表示客户端向服务器端发送数据时的数据字节的序号为11(其值为客户端向服务器端发送数据时的第一个数据字节的序号+1),1Acknowledgement number:1为确认号字段,表明明t client下一个要接受的报文段中第一个数据字节的编号。 此报文段的标志位为Flags:0x00010(ACK),表示这是一个K ACK报文,可看到S SNYN位置00,而K ACK位置11,客户端使用ACK标志和确认号字段来确认收到了服务器端的本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 K SYN+ACK报文。 通过这33个报文的交换,完成了P TCP连接的建立。 (44)t client请求htp tp的报文:Source port:1102 (1102)表示源主机所建立的源端口号为1102。 Destination port: (80)表示目的端口号为80,即接收方主机本次连接建立连接。 源主机是从1024565535中指定的源端口号,080是被定义为p 服务的端口号,TCP不像在数据链路层和网络层中的协议那样,它和它的上层协议不使用硬件的和逻辑的地址来区别发送方的主机地址,它们使用端口号来实现。 Sequenen number:1序列号为11。 上一报文中,客户端的r Acknowledgement number也表明将接收第一个数据字节编号为11。 Next sequenen number:281要发送的本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 下一序列号为:281。 Header length:20bytes首部长20B,它与与P IP。 首部长度一样是可变的,都取决于可选项。 Flags:0x0018(PSH,ACK)A Acknowledgment:set确认位,用来指示确认号有效,当它置00时,说明该报文不包含确认信息,确认号字段值则被忽略。 Push:set表示请求推送,要立即将报文交给接收应用进程,而不再等到整个缓存满后才向上交付。 W Window size:65535指明窗口大小,其范围为为0065535,当其大小为00时,表示收到了包括确认号减11在内的所有数据,但当前接收方缓存已满,不能再接收,希望发送方不再发送数据。 了。 而发送方也必需要等到收到窗口大小非00的确认报文后,才能继续发送。 55、P 报文: (11)请求报文:本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 GET/r rn求表示是请求p 服务的报文,。 至今,P 有三个版本:、,没有在通讯中指定版本号,且不支持请求头。 由于该版本不支持POST方法,所以客户端无法向服务器传递太多信息;协议版本,至今仍被广泛采用,特别是在代理服务器中;,持久连接被默认采用,并能很好地配合代理服务器工作。 还支持以管道方式在同时发送多个请求,以便降低线路负载,提高传输速度,除此之外,它还有一个明显的改进错误通知的管理。 在在p 的响应报文中,0200多表示正常,0300多表示请求重定向到其它的U URRL L,0400多表示客户端出现差错,0500多表示服务器端出现差错。 T GET是表示向服务器请求一个文件,可GET仅仅是P 众多方法中的一种,它还有PO ST:向服务器发送数据让服务器进行处理;U PU和:向服务器发送数据并存储在服务器内部;HEAD:检;查一个对象是否存在;DELET:表示从服务器上删除一个文件;CONNET:表示;对通道提供支;TRACE:;跟踪到服务器的路径;OPTIONS:查询b Web服务器的性能。 Aept:application/x-shockwave-flash,本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 image/gif,image/-xbitmap,image/jpeg,image/pjpeg,*/*r rn表示客户能够接受的媒体格式Aept-Langu age:zh-r rn表示客户能够处理的字符集:简体中文Aept-Encoding:gzip,deflater rn表示客户能够处理的编码方案。 P 协议上的P GZIP编码是一种用来改进B WEB应用程序性能的技术。 大流量的B WEB站点常常使用P GZIP压缩技术来让用户感受更快的速度。 User-Agent:Mozilla/(patible;MSIE;windows NT;SV1)r rn n包含P 客户端运行的浏览器类型。 Host:r rn Connection:Keep-Aliver rn表示此连接的类型为Keep-Alive。 在在/协议中,所有的请求头,除Host外,其余都是可选的。 服务器端接收到客户端请求的数据后,服务器便会向客户回送请求,将L HTML文件发给客户端。 但由于考虑到大数据易出错,并且传输时会一直占用带宽,重传时也会造成大量的带宽浪本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 费,以及设备的缓存容量等问题,P TCP便将传输的数据分段在较小的范围内并做好相应标记,以提高传输效率。 在以太网中,数据包的大小在64-81518字节之间,如果客户端请求的页面大于81518字节,则会将请求的页面分段传送给客户端被分段的数据及控制信息都由P TCP控制。 我们能够看到,在P 请求报文之后,有010个个P TCP报文,它们是服务器端向客户端发送的被分段的包含L HTML数据应答报文及客户端接收到后的确认报文。 我们将列举其中的三个作为说明,以下是服务器回送用户要求的l html文件的第一个数据包和第二个数据包的内容:Sequence number:1序列号在TCP连接,过程中,服务器端向客户端发送的同意连接中序列号为00,所以此序列号为1。 Next Sequence number:1461表示服务器端发送的下一个序列号为为1461。 Ackonwledgement number:281表示服务器端下一个要接受的报文段中第一个数据字节本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 的编号为为281。 Sequence number:1461表示服务器端向客户端发送的序列号中,与上一报文中Next1Sequence number:1461吻合。 Next sequencenumber:2921表示服务器端发送的下一个序列号为为2921。 客户端确认接收到的数据:Sequencenumber:281表示序列号为281,这与服务器端将要接收的的报文段中第一个数据字节的编号为为281相吻合。 Acknowledgementnumber:2921表示客户端下一个要接收的报文段的中第一个字节的序列号为为2921,这与服务器端发送的下一个序列号号12921相吻合。 k Ack位置1确认接收到的信息。 由于使用了选择性确认机制,所以服务器端只需要发送接收本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 到确认报文中标志的下一个报文便可。 除此之外,我们还将注意到,期间每个服务器端发P TCP报文中都有如下重组字段:Reassembled PDUinframe:25表示在第525帧(包含响应报文的帧)中重组分段信息。 (22)响应报文:首先我们看到了分块的重组信息,第第 15、 16、 18、 20、 21、 23、25帧中的数据被重组到了第第25帧中。 其次我们来重点关注下P 的响应部分:本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 /200okr rn n表示的是URI(Uniform ResourceIdentifier,统一资源标识符)及其版本,“200OK”是P 响应的状态码,表示客户端请示的页面存在,且状态正常。 Date:Thu,14May06:07:40GMTr rn表示连接服务的时间。 S Server:Microsoft-IIS/r rn指明服务器名和版本号。 X X-Powered-By:r rn表示当前请求页面的脚本类型为ASP。 Content-Length:9018r rn此显示此连接的内容的长度。 Content-Type:text/htmlr rn显示此P 连
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 市政施工维修合同范本
- 临门一脚文科数学试卷
- 午托厨房合同范本
- 李集小学数学试卷
- 礼花蛋的数学试卷
- 连州中考数学试卷
- 果汁原浆出售合同范本
- 零五网答案数学试卷
- 曲靖一中数学试卷
- 2025年金融市场量化投资策略与金融风险管理中的风险控制技术发展趋势报告
- 建设项目环境影响变更说明报告
- 新疆和田县多宝山铅多金属矿项目环境影响报告书
- 2025二年级语文下册期末统考测试卷汇-总
- 血管活性药物静脉输注护理
- 苯乙酮项目可行性研究报告
- 卫星遥感技术在军事目标识别中的应用-洞察阐释
- 《医疗机构工作人员廉洁从业九项准则》解读
- 《金融衍生品交易课件:股指期货入门教程》
- 成年女性压力性尿失禁护理干预
- DB11∕T500-2024城市道路城市家具设置与管理规范
- 血液肿瘤基础知识
评论
0/150
提交评论