Http协议详解之实战使用WiresharkHttpAnalyzer分析EKP与ERP

1、http课程实战刘豹目录1. 使用wireshark分析访问ekp首页通信过程11.1 关于wireshark11.2 配置wireshark捕获到ekp站点通信11.3 分析tcp三次握手连接建立过程31.4 分析连接建立过程后http通信过程51.5 连接关闭61.6 wireshark使用总结62. 使用httpanalyzer分析访问ekp首页通信过程62.1实验目的62.2 分析典型通信过程62.3 冗余的响应头81.使用wireshark分析访问ekp首页通信过程1.1 关于 wiresharkwireshark：是一款开源的数据流层（传输层、网络层、数据链路层）通信分析工具。 卜

2、载地址:/download.html1.2配置wireshark捕获到ekp站点通信第一步：启动wireshark,选择捕获配置。ikiark letverk anlvi笫二步：设置捕获配直。要点：选择正确的网卡，且设直正确的捕获过滤配直。捕获 过滤设置：t卬dst port 80。解释：捕获使用t卬协议、h的端口为80的通信。做好以上配置后，就町以抓本机的所有使用tcp协议到日的端口为80的通信了。为了 减少干扰，可以在木机只保持一个浏览器窗口。捕获结果:hqir uliimoi ti».ti sow”*”ywfrotedl2 0.02

3、061.273 0.02065710.5.31.?710.5.4.?4 0.021527http5 0.0ml 806 0.05322677htp http7 0.07653378 0.07734779 0.07707210. 5.11.2710.5.s4.2tcp10 0.0770b0711 0. 0774171o.s.3

4、4.2tcp12 0.084 5467tcp13 0.0982237ht-p14 0.10503210.5.34.?715 0.1050757"0.100207ht*p17 0.12745110. $3心7ht-p18 0.128707http19 0.1496237http20 0.258721

5、 0.2520b976922 0.31157023 04952167 64.4.s2169 202724 0.49525669tdp25 0.49622526 0 73662810. 5.11.2769697ht*p http27 073*5987的力,21艸28 0. 7724029 0.76513910.、11 27769http30 0.73815110.

6、.11.27htp31 0.797720 n aa1 7 1c 5 2d 210.5.s4.2 1ft? r1 77tcp33 0.8186587tcp34 0. 81974 57ht-p35 0.842395736 0.84272410. .il.27ht-p37 0.842749710.5.4.?38 0.920笳79q a q7zr1 210-5.n. 27 nd 4am 1ft <

7、; in >7v® r <4丄 6.7420337ht'p frame 1 (62 gyreson viire. 62bytes captured)ac叮 scq-u a*3:-l wen<6384 ltn-0 mss<380 soq-1 ari：-1 w5n-65555 ln-0http > 4£234623 > htrpget /ckp/portal. aspx http a. 1http a. 1 302 found (texx./hxml)get /checkkey. aspxpage-

8、htxpxsaffekp.mysoft net cn%2fekpm2fporral aspx http/1.1 tcp segrem of a reassenoled =dutcp segrerr: of a reassetroled wuj 4623 > http (ack seq«1765 acks3376 w1n«65535 len=o of a reasserroled ru"sq-1765 ack.4756 曲n65535 len-0seq-0 w1n-65535 len-0 mss-1460tcp segr-enx of a4623 > h

9、ttp ack4624 > http sywhttp/1.1 200 ok (tcxt/html)http > 4624 syh, ack srq-0 a.*k-1 w5：63r4 i rn-0 mss-13804624 > http ackj seq-1 ack-1 win-«53$ ten-0get /pubproject/j5/pjbli<. js http a. 1http/1.1 301 wot modifiedget /.cormon/scr 1 pt s/ql ofc a 1. j s httpa.lhttpa.l 304 t<ot m0d

10、4f1ec4623 > htrp ack seqel765 nek=5686 w1n«64605 -en«04625 > hrtp (3yh seq-0 win-65535 ueno mssl4604624 > http (ack seq-1632 ack-192 w4fi-65344 len-0http > 4625 (syh. ack seq-o ack-l w4n-163b4 len-0 mss-13804625 > http ack seq-1 ack-1 xhi-65535 len-0post /q”pf/cx:grtd1： httg

11、/1.】 (.ipp'5c.iton/x v-v form urlervcodod)http/1.1 404 wot round (text/html)w、http【屹勺 seq-7w 叱at2® win-ejlu len-0462!. > http fin. ac< seq-z93 -426len-0post /pub >wlhttp.a$ox?p. ous1resstype-recordlosrdrn-r0.92 594l8700023295<e><sr*-slsnn http/1.1 200 ok4626 > http syn

12、seq0 win-65535 len-0 mss-1460http > 4626 (syn. acx sq-0 ack-1 w4n-163b4 lgho m!>s13804626 > http (ack seq-l ack-1 0-65535 len-oget /oefault aspxpage-httpsaffekp. mysoft net. cn%2fekp%2f portal, aspx http a. 1 tcp segrenz or a reassaroied pduj http/1.1 401 urmuthoricc flcxt/hlm')46?6 >

13、; http atk scq-fi92 ack-1544 w4n-65535 i rn-0"24 > http ack s«q-24«1 ack-370 wln-65166 uen-0http > 4$2s 心seqm2g 負ck"4 win-m74?len-0get /oefaul-.aspxpaqe-httpsaxsfekp.mysoft.net.cnafefcpxfporta'.aspx mt"p/1.1 , zj(00：26：co：31：20：ed) internet protocol, sre：

14、7 (7), dst： () rans*i1ss1on control nrorocol src port: 4623 (4623), ost porz: ritzp (80). i>eq: 0 len: 0jooo0026ob<120ed00le909fbuc838oc4$002010003056at40co800662f2oa05oblboa050020220212of0050co。3f3afoo00000070023030ffff7b0600co02(m05b401010402mg j比|¥回| q q q已仔

15、e能ez;r«ni<m cl«»r applyprofile defvdtxie： 'd ywkiji百托必«1认证工焙“ckz 405406 irk& 08".馭|a工作| wzm明榭工仝u t：r«y 2 jfg | &吗癱 1. 2 pce3& 13分析tcp三次握手连接建立过程在tcp的询三次通信，就完成了连接建立过程，我们详细看看这个过程。no.timesourcedestinationprotocolinfo10.0000007tcp4623 >

16、; http syn seq=o win=65535len=o mss=146020.020617tcphttp > 4623 syn, ack seq=o ack=lwin=16384 len=o mss=138030.0206577tcp4623 > http ack seq=l ack=lwin=65535 len=o第一步:客户端(ip： 7, port： 4623)向服务器发(ip： , port： 80)发 起连接建立请求，并发送了一个数据包，问服务器收到没有。

17、4623 > http syn seq=o win=65535 len=o mss=1460seq=o：消息顺序号。(为0-般是建立连接吋用的，即是笫一个请求)win=65535,接收窗口人小为65535。(这是我的机器tcp的接收数据的窗口人小，可 以看到与服务器端的大小是不一样的，服务器端的大小是win=16384)豹：窗口作用：严格限制已经发出去而耒被确认收到的数据帧的个数。只有在接受窗 口向前移动时，发送窗口才能向前移动。豹：当发送方的数据人于接收方窗口的数据时，接收方需要告诉发送方白己的窗口人小。第二步：服务器接收到这个请求后，告诉客户端我收到你的消息了，我给你发一个消 息，看

18、看你能收到不。http > 4623 syn, ack secpo ack=l win=16384 len=o mss=1380ack=l,这是一个向前确认的机制，表示请发送序号1的消息过来吧，意思是序号为1 之前的消息已经收到了。第三步：客八端告诉服务器，你的消息我收到了，我们之询的通信是畅通的。因为这 是发送的第二个消息了所以seq=lo4623 > http ack1 secrl ack=l win=65535 len=o经过这些步骤，我的ie与ekp所在服务器的连接就建立了。豹：具体点说就是105：1127:4623与105342:80的tcp连接已经建立了。豹：仔细分析所

19、有数据包后，你会发现ie在只打开ekp主页的情况下，同时与ekp 服务器建立了 9个连接。这个连接数是惊人了。因为http协议本身对客户端到同一个 网站（其实是完全域名）的连接数是有限制要求的，即不耍超过2个。我的客户端环 境是win2003+ie8,是遵守了这个要求的。那也就是说，获取我们ekp首页资源,至 少涉及到了5个域名。豹：从对后续具体http通信的过程分析，你会发现，不同连接z间的数据发送是完全 独立的，即ie不会协调不同连接之前请求的依赖性。所以，如果我们系统存在依赖于 不同域名的页面资源下载时，必须通过代码来保证这种依赖的可靠。1.4分析连接建立过程后http通信过程1.4.1

20、正常通信htl ro >.f«m» s x 0 »)os q q q al l 一 - " fu«mufafv««mup 0.0w3id. xo.il" 34 2b o.orroaz10.m20 q.07t07210.11.27!p 00”g010.34.2u 0.0zz412v 0.054m0tn a10. 10. t n11” 11.2z <a »orroazq7w2 oy/o«o10.10. 10.0zx412054m010. xoo9a221 10503?xo.1050751

21、0.1042 cl10.1274511g.17s7otxo.uwj 7cmqs810.10.xo.n：s7qip.4®5?1664.4»525o24w25门s2810. “n<j)9d、07"屮10.76s13910.zm>x 冷"20x9. 10.51wu10.bit >!“、10. 0!mj3« m272410. 10.d “10.9：w57 ”3hx&.6474j0jj 10.7&4q4b”2310.10.1. )410.5. j4.zhttp10.5. u.27tc»10.).11.27tcp

22、10.i.j4.2tc10.5.11.jztcptcptcf72t272x0.5.u.272710. f. 34.2227727m.4.$7.1492tx0.1.m.216910.5. u "27<692764.4.$?.141o.s.12.77644$21sm.4.271x0！"2t10. s. j4.210. 5.n.272t10.s.14.jit10.5.u.2721o.5.11.2

23、fit10. s. 34.22710.s.14.2x6010.5,11.2710.5.14.?10.s.11.27»<tptcphttpr w-ntt cnu avrvw 0. ivron; mt. cnwrai purport 11.巧防 rcur«ass«mbledacroaiiunbled me" «l"n-a”, ltfm)lerwo m52«140qor zmci rty. iscrr; (to* :«9nerx of a (tcp stncnt of 4 4«2i > http 心

24、 tcpof a“29 > http (ackom，mnrzxa.olo< q<iumad _ 、http > 46z4 (syn. ack) sqx) a<» -1 wln«16jtm l«r») ms3-x300 “24 / http iack1a0.-x“zgkt /»vbprol«t/h/publ 1c. is wttra.l http/1.1 畑 not modhifdgtt /.cowworcript«/«ioba 1.j« mttp/l.l k*a mot me

25、d1f5>d“23 > mtp 442$ > mvp “"> mtpwlrw<mi1 l«<w) *q-1765 k-536 wln-m6g5 lc-o "z "y $3$w460gg wlrw«5m< terwo hrxp > 467s (sym. jck 10 ac» -x w1r-16w t»rwo mtoso 4*25 > http (ack)、qx mbx wlrw<>5535 r)m zl54p1/<x0et.du httra.l c4fip

26、11c4t1orv* vw-fotb «jr1enc(xm) ffttr/l.l 4u< mot »cund 445$ » http (ack)4“ wlrw4$lll irn-0“為 > http fr：n. ack) s<q-r3 mb726 “nfuu 50 r5t /fue_>«ilhtto.wp>"usl«type-re<orxc9&ra«ui-0.92$*ilb7000232weysm-d&1x wrrra. 1 200 x 4«26 > htt

27、p (syn)wlf>><»5s3s l«n-o ms£<-1460mtp > /20 sfn.“2® > http (ack) f4q«l ac-xl<rfw« p.myiort.rwtoa2，l(p0urportj20* mtta/1 .丄ack seq-o ac».i mih-imm ten-o mss-1359http a. 1 4d unawthorued (text/><«)4«2o > http (ack) 3«q2 ac

28、x5a4l«rwo<«4 > http ackj s4jq-2461 kck-jto wln-651w lerw mw > 46?! ack :«q-4?6 mi-7w wlrwm7j u<n-0/<r4ult .44phttp/xx . (tcp <«qn»r* nf a r«a<<«mbl»d pdumttp/l.l 4qx ufushem”" kumm(:讥“mjzj frn* 4(»a* byrx on rlr» 8r7 b/tx

29、 ciptirm) cxherrsct :. "c： cht«ro.tf：bc：c8 w：l«：10：vf：b<：<s) wx： c"c0-n：20：8 (oou：qe：n：；o：«j) xntrrwt protocol sr<： ? (7) 0$t： 10.5.m.2 qo.5.m.2) rranmiifflo comrol kgocol vc rrt: 4w1 (4«7i) xt wt: mtp (to), mq: x act: l itn: 81第一个红框内容：请求get /

30、ekp/portal.aspx http/1.1,因为有缓存,服务器直接就返回了 302, http http/1.1 302 found (text/html)第二个红框内容：请求了一个/checkkey.aspx?xxx,这个页面，因为返回内容比较大，进行了 tcp segment 的一些拆分和封装。可以看到，在一个t卬连接上的请求z间，http请求的顺序就是接收的顺序。1.4.2丢包重传当服务器发送了数据包，但没有在指定时间内收到客户端确认信息时，会要求客户端 再次确认。豹：丢包重传现彖比较止常，只耍在一个比较小的比例内都是没有问题的。1.5连接关闭连接关闭分为正常关闭和非正常关闭。正常

31、关闭需要在http报头头添加相关报头，需 要4次來回通信来确认。一般情况下非正常关闭居多，比如你关闭掉ieo此时客户端发一个重置tcp的请求给服务器，服务器就会关闭掉相应连接。4623 http rst, ack seq=12848 ack=64028 win=0 len=01.6 wireshark使用总结我们主要使用该工具来帮助我们了解tcp,以及基于tcp的http协议工作的真实过 程。在实际工作小，-般不会用到这么底层的协议工具，只需要使用http协议抓包工 具即可。2.使用http analyzer分析访问ekp首页通信过程2.1实验目的希望1大家掌握httpanylyzer的使用2

32、通过实际的http抓包，加深对http协议通信过程的了解3希望大家能够掌握排查web前端开发疑难问题的一些思路。2.2分析典型通信过程身份验证过程:hze« | reiponse ccrlen： | reqjesl tmnq | quay sting |、| stieaw | status code ddrtton |racpxmha*>c|y皿(request line) acceptget ltd" eptsifpcrtd.aspx hhp/1.1 mageqf, msk.kp, msgebixa maqefpeeaaxikacn/x-ms xbap, eppfc

33、&hrvvtrtbphoajrrcci,(statui lw>c) cantenl lcnolh can!cnl type s«ve<http/l.l 401 uwjiho仪d 1327tbxvhtmi r.wrmo-ils/6 vaw authenticale xnl, apmcotior&id.crs excel,www authenticatenuma ccepl-language u»«f agentaccept-encoding hott conneclionax«>sticn6rid. «cc*：e

34、bdnfrrewxd. t:h-cnhorf4h，0(cdmp!<me; ms1e6.c; wmcwsnt 5.2; ndert/4.0; .plcir 1.1.432?, .netcir 2.0.507z7; net op 3.0.04506.648; g clr 3.5.21022;0：p/如如 bnxrvcysdwnkwp-aivex4>owcredby datea5p.netihu, 22 apr 2010 05:05:26 gmtcurrmil s«s*>c4»1/55 (55) dt http:/laal4xin. »yt«£t. netcnx2£ci ° 53* |够文| jpl作| w2fh乜明榭工仝|辽3阳.|匕1冏亏味：加”$視駅|e3a o)刁© n 26mttf?il« acli:a vj*v grid filter to