利用wireshark分析SMTP、POP3协议实验报告

1、利用wireshark分析smtp、pop3协议实验报告利用wireshark分析smtp、pop3协议实验报告一、实验目的利用wireshark抓包，分析smtp协议和pop3协议内容。二、实验环境连接internet的计算机,系统为windows8. 1； foxmail,软件版本为7.2； wireshark,软件版本为 1. 10. 7。三、实验过程1. 邮箱登陆及接收过程（pop3协议）1）操作过程打开wireshark开始俘获。然后打foxmail邮箱，输入用户名，密码,pop 服务器，smtp服务器,如下图:a qutib片工ji- 1jr* fib* e© -tk 9

2、9f 幕msx>xyji >: pop39 1 mwfcq : val«yyi(gl63xom昨:孑poo« popjdom su110smtpfmhb : <mtp.16l<ofn丨 ssl口：2s tc聚务m®r$arni$wrw®(d” 1j rj0个鬲目然后点击创建，登陆成功如卜图:capturing from u4xb wkeshmk 1.10.7 (v1.10.7-0-96b9?u1 from mmter-1.10)jfw (dh vrw q. aptu*« arwyst sutims yfwpho*y wh

3、h*p携鼻i g g jfe rm * mb 砂 "ft x丄qy”3 0.0247940(4 >.711035<m5 j. 7117220 e "心 <fx>7 j.7172590s 3.737s5w ml ukv«k>yw) fraiw 1: 74 byw itmrntt ix. s ppp-ovtr-ether rolm co-rolm thttmt ptotcm00000010oo?o00300040 ctpif iw proywo wte dxke： m w (100.0*prelet de*uk"卩鸞二06 49

4、 ob bso $ 8 3 a) h g a 02 <s 00 0 05 a0 01 0然后点击收取，结果如下图:capturing from 以太网wkeshmk 1.10.7 (v1.10.7-0-g6b93u1 from master-1.10)*2、ehr< ml tu(v»kyy«)sbcri 4m2s87m"3fraim 1： 74 by th«rnex xx. 5 0pov«r-cth<r point-to pofrn tmrnt i»roto(rstmlmj wmng匕駅* 3e(l)00000010

5、002000100040l v>4cyyxohsxomw“*氐0"产»4 71103 nv?o "wx>m 49 oe b so r5 00 1x h 3 4 02 ” 00 o 05 ao 01 0亠己网绍oc«px< i，p*©9f rte- “曲* 146 "pl归！ w (100 oh)打开 wireshark,停止俘获，并保存(结果 ucapture_for_emaillogin. pcapng v 另附)。2)结果分析因为pop3协议默认的传输协议是tcp协议，因此连接服务器要先进行三次 握手，如下图：g

6、timesource1 0 0000000010» "0.22 - x2xonunalior 22o 1w丄2. xoxprotocol lerth lr4©2 o. 02466000 o11o.170.2?. 171tcp74 pop) >厂 mm89 (syw, atk 5rq-0 arkl wlh«146o0 im>>o ms5-1448 运ws-1?8连接成功，主机向服务器发送明文用户名和密码，如下图:tcp w fop21x210162

7、pop) > 畑的ack s叶u adc-2) wlr>-14720 ltn-077 $:il"c： pass qwcrasdf6 3.736)900 220. lftl. u. 1017 j. 73725900 220. lfl. 12. x01a i. 7575600 10.1 70. 22.1ho kb认证成功，开始接收处理，主机先向服务器发送sata命令，得到邮件数量:capture.tor.emaillo9<n.p<pr>g (wirharic 1.10.7 (v1.10.7-0-g6b93u1 from mmter-1.10)jfw 

8、3;曲 yw qoaimm* sutimkt tfkpho 1*刖pq q q b t£ 畋* «22o.1s1.12.1o21no- timesource4) 7. s7«)$o0 10.170. 72.12144 7.901*2700 220. ltl. 12.101v fwprrwod. crm apply jvcrotocdir4owm c： itatfof7s s： hx 4 41621w cthwrrwt xx. $rc： ini«wwit«_u5：7c:55 (d0：49:0b:b5：7c:55). 0&g

9、t;t: qu«ntko-e5：e«:5« (05:01:05:«:«) ppp-over-ct her net session folnr to-folnr protocol xnterntt frotoco) version 4 src： 01 (22o.1s1.12.1o1). ost： 21 (2u： rransaisslon control rroxocol $rc wx; pop) (110) osi pori; $390 (so4m». $«q

10、; x3： ack; 44. l«n; 13 post office protocolf 心 4 4ie21rnftespome indicator: «<x«e5por» description: 4 416?1isvohyvd! 151 (1000h) -ifmemoom0000001000?0003000400l f> 11m1决,4/v/ot主机向服务器发送list命令，得到每封邮件的大小:c4pture.for.emaillo9>n.popng (wire$hxk 1.10.7 (v1.10.7-0«96b93l&g

11、t;1 frommmter-1.10)- ° s3f« e羽 ye* go qexe zyze 却s5 zph«r h叭o©49x0 i 3齐金匡1 q q dt£更” xerterv?"vl fsprewo. gear applyno timesourceominadieczfocd leng* ih*o*45 7.9022160021220.18x. 12.101 w63 c： list "aim 46: 111 bytes on wire (am bits). ill bytes captur&l

12、t;d (ssa bits) on 1m«rfact 0 gtherrwt xx src: nuawt1te>5：7c:55 (d8：49：0b:b5:7<:55) d$t; quartko.65:s4：8e (08:9«:01:65:84：s«)* pp-ovrr-cthrrnrt session fo1nt>to"fofnt protocol xnttrntt protocol version 4. src： 01 (220.ltl.12.101). ost： 21 (10.170.22

13、.121).* rramoisslon control protocol src fort: pep) (110). osc port: 50490 (so4m>)、eq:丄50 ack: s0 ltn: 49 i- post office protocola *ok 4 41c21rnrespome indicator: «ok dicrlpeion: 4 41211 12j58rn2 w20rn3 9669n4rn00000010002000100040oe 9« 01 6$ sa ao es 00 sb 00 17 8$ de bs 0 "cl 3 c

14、l 44 4b 20 34 20 m >< >f 2 >1450a5036>ab$ 7< m 22 79 0071 f5 0d oa >0 211 u762b32:胶:2 , ©k 4 4162 1.1 123«、 co 、a .,2o 営 we *cw-pxkmr 151 dh0祝d: u1 (1000h) - iz sr xag主机向服务器发送u1dl命令，得到这四封邮件的唯一标示符:opture.for.enuillogin.p<png (wirmhxt 1.107 (vl i0.7-0<g6b93lal from

15、 mmter-1.10) o kbf* edh 致 3 aptix* gyz.tekpho oohhelpo，- *b x 3q q孑盘l=jj|qqqc! 吃岂并 »mbw?v 1 tbpressv. o«r apply jw*n<ktimesourceotocoi i mv* ir4oa47 7.92427300 1o.1to.22.121wm； vxcx.> fran* 48: 182 byres on wire (14% mis). 1s2 byrescaptured (1456 bits) on interface 0 ctherntc xx. sre

16、:机叭仃75:兀；55 (d6;4：0b：b5:7c:55) d,l: quk«co65;z:8(08:9«:01:65:8«:5«) p0p-ov»r rrhernet session nr-to-folnt protocol xmtrntt ffotocol vtfuon 4. sre： 22o.xs1.12.1o1 q2o.1s1.12.1o1). dst： 21 (21) transmission control protocol arc fort: pop3 (110) ost port:

17、$0490 (50490). seq:丄. ack; 56, ltn; 120 post office protocolfi *ok 4 41621rnrespome indicator: kkr<5p<wne description: 4 41211 xtb6zh$udfd*kkuu5maa$frn2 xtb«uqdud ouaoiaaam r*r>3 xtbeuqmjdrn000000100020oom0040m.ao*g 9« 01 65 u so es 00 00 17 id de bs 0c "f4 u cl 442 20 m 20 m

18、ae450a5036nr *cauwnv>dai«m«tfw0b b$ 7c 5s <8 64 11 00 j0 22 dr 40 00 h 16 79 00 o cs 1a 7d 00 7) d« m 00 00 2b31 0d 0a 31 20 75 74 >、 «h b >< tv:%:dlf» $k 4 4162 1.1 xxb*ptdcmr 151 dhp<«y*d: 151 (1000h) -13 oioaom 1mj ,4/v/m4 xtbovqmxiro»v40)«

19、;qa0>-rn r5最后主机向服务器发送quit命令，冋话结束:jur 亠 ju亠 丿亠亠丄丄/v 4.-lv <u * 亠 j 亠 w厶/ jl r z «.«. jl&. jl.%/czvw wve j j k/ww v -t 丿f wcz j丿 u i c< v zi pw« v r/v142 11.5925o5o1o.17o.22.12101 pop68 c： quit143 11. 6152760 220.18i.12101.10 170. 22 121pop77 5： +0k cor© ma

20、il2. 邮寄发送过程（smtp协议）1）操作过程打开wireshark,开始俘获。然后打开foxmail,点击写邮件，写一封邮件, 点发送，如下图：aapturejocemaillogin.popng wireshack 1.10.7 (vl.loj-o-glal from master-1.10)&一头 mqo c«pt*x«仙dci t«kpko xk if k 时fram 1: 74 by ithernec 11. s p-qv«t ctmr point-to-pofnt yntrnt rroto12只个环0000001000?00030

21、004049 8 b e$ 00 歆 h oa a<“80 ao 01 0o *f r2y to zd o* “ren»dcen 151 卄,151 doaoh) - dropp 0 (ooh)i和中w7/d1然后打开 wire shark,停止俘获，并保存（结果 u capture_for_emai isend. pcapng” 另附）。2）结果分析因为smtp i办议是基于tcp |办议的，所以耍先进行三次握手:44965100 10.170. 22.12116 3.47621200 220.1s1.12.121tcp17 3.47636600 10

22、.170. 22.1211tcp_74 sntp>5cm94 syn, ack seq0 ack-1 win-5840 len-0 mss-1448 sack_ptrmws-128 62 50494 > smtp ack seq-1 ack-1 win-66o48 len-070.?.1?1krsmtp主机向服务器发送ehlo加上主机名(val-pc),服务器响应并回复250,表 示服务器可用：21 4.s33e>700 220.1u.u.u? 4.5u4iuoo ?x>. 1 <1.1?. 1162 saxp &g

23、t;ackack-k wir>5s86 itos?47 c: ?50 sail | ?s0 ptcltnluc | 230 awth 10ctn pl atm | 2$0 avtm-ioctn rath | 2$0 corraull lukr?ikjnc主机向服务器发送发送用户登录命令“ahtu login”，服务器回复334,表 示接受：因为smtp耍求用户名和密码必须经过64位编码后发送，不接受明文。所以 客户端分别向服务器发送编码后的用户名和密码，服务器分别冋复334和23521smtp801sftp7621smt

24、p93mfsc；q£axnjmuy29l|stps： 334 ugfzc3dvcmq6 c： pass: cxdlcmfzzgy-s： 235 authenficafion successful表示接受和通过:26 4 57875000 127 4 57908000 10.170. 22 12128 4.60853000 1客户端先后向服务器发送“mail from”和“rcptto”命令，后而分别接上 发件人和收件人的地址。服务器分别冋复“250 mail ok”，表示接受成功：31 4. 72555800 1

25、32 4.725994002133 4.77915400 21smtp75s：250 mailok1smtp92c：rcpt to：<gwval3344®>21smtp75s：250 mailokmail from: <valsyyx163tom>30 4. 70085800 10.170. 22.1211smtp92 c 接下来客户端向服务器发送命令“data”,表示将要向服务器发送邮件正文, 服务器回应“354 end

26、 datawithcr>lf>crxlf”表示同意接收：|34 4.77969500 10.170. 22.1211smtp68 c：data35 4.80107500 21smtp99 s：354 end data with <cr><lf>vcrxlf>然后客户端把邮件发给服务器，服务器回应250表示接受成功:36 4.8014 3400 10.1/0. 22.1211smtp 416 c: data fragment. 3m bytes37 4.862

27、76800 138 4.8629moo 10.170. 22.12139 4 8486800 140 4.98090800 21221tcp62 srwtp > 50494 ack seq-381 ackm82 wie6912 len«0imf 1041 from: "g1syyxw63tg” <valsyyx>, subject: test,tcp62 smtp > 50494 ac

28、k seq-381 ack-1461 win-8960 len-0smtp 134 5： 250 ok queued as 5mtp7,c8cow£bzlehpb3xusnxzaa-.2186s2 1417414634在如下这个包屮可以看到，邮件的具体内容，包括发送吋间、发件人和收件人的地址和显示的名称、邮件的主题和邮件的正文内容:capturejor.em>il$end.p<pnq (wicehidt 1.10.7 (vl i0 7-0-g6b93ul from mmter-1.10)f* edhgosterns tewpho ooh即po©,4 rh a x

29、 3® if 盘，国卫 q q q c! 忆粤* »v i f»pre$sio. omt applyprotocol irglh mo frame 38: 1041 bytci on w1r« (s328 bits) xcml bytts c*wrz (8j28 bits) k intcrfact 0 ethernrc xx, src: qusxyj&r (08:9e:01:05:&4：fle). dm： huw»ltejt»：7c:» (<u:49:0b:b):7:55) pp.ovm*穴mat &#

30、171;xhon fo1m-to-fo1nt protocol internet protocol version 4. sre: 21 (21). ost: 220.181.12.il (220.181.12.il) tr«n>ol»«qn control protocol 3rc rort: s<mz0>t rort: >mtp 住 s 5«q:ack: w u«n: 979 sfople mall tr«nf«r protocolinternet &#

31、187;*ess4gr roraitom: sb 1 cmc 2014 14:17:11 -800fro: "valsyyxaics.coa* <valsyyxl6j. coo. 1xtmi! "valiy/x*16). cob" tfva1syyvtl6). cmrndbpl«y2»«: "va 1 >yyx*163.cc«*mrc： vabyy«#16>.<0»to： 9mv4)k44 <qwvj|) <m4916s.cob»e 1 1te«kmi: iv>uu4 <gwviu 144016)vob>t.obpliynm»« 9nv«1)44mdress: 9wval3)44ti63.coasubject: t«>t4 unknown-e