HTTP协议分析
问:HTTP是干啥用的?
最简单通俗的解释:HTTP 是客户端浏览器或其他程序与Web服务器之间的应用层通信协议。 在Internet上的Web服务器上存放的都是超文本信息,客户机需要通过HTTP协议传输所要访问的超文本信息。
一、实验简介
本实验主要讲解HTTP协议的应用,通过一次下载任务,抓取HTTP协议数据报文,对HTTP的请求和相应报文进行详细的分析。
二、实验目标
1.了解运输层HTTP协议基本概念、报文结构;
2.分析HTTP报文头部;
3.分析HTTP请求和相应过程;
4.掌握使用wireshark进行HTTP协议分析技术。
三、实验环境
实验主机:centos7和本地Windows
实验工具:Wireshark
四、实验步骤
1.在本地Windows上打开Wireshark,选择要抓取的网卡,我们虚拟机使用的是VMnet8,所以这里选择这个网卡。
2.打开centos7虚拟机,确保虚拟机可以上网
3.为了使用方便,我们可以使用远程连接工具连接虚拟机,这里使用的使用SecureCRT
4.准备一个下载连接,这里我们下载阿里云的centos7yum文件,文件比较小,下载起来方便,需要使用wget命令,没有这个命令的需要提前安装以下,下载命令:wgethttp://mirrors.aliyun.com/repo/Centos-7.repo
5.将下载连接复制并粘贴到虚拟机,开始下载
6.将抓取到的数据包保存,方便后续查看
7.打开上一步保存的数据包文件,右键选中其中一条TCP数据包,选择对话过滤,再选择TCP数据,就可以单独查看这一次会话的数据包
8.过滤出来的这次下载任务的会话数据包
9.接下来,我们就对HTTP协议进行分析,HTTP协议是建立在TCP/IP协议基础之上应用层协议,关于HTTP协议的原理在前面有详细的讲解,这里在简单通俗的解释一下,HTTP是一个简单的请求-响应协议,可以理解为HTTP协议做了两件事,第一是发送请求,第二是响应请求,通过浏览器发送请求,服务器收到请求后再将客户端需要的结果返回;HTTP协议并不负责传输,只负责打包请求数据和打包响应数据,传输数据是由TCP/IP协议负责的。
我们先来看看HTTP请求和响应出现再哪里?
从上面这个图中我们可以看到,当TCP传输通道建立完成,客户端便发起HTTP请求,中间是服务器发送给客户端的确认报文,确认完成之后,服务器开始响应客户端的请求,将客户端需要的数据发送过来;完成之后客户端会发送确认报文。
10.分析HTTP请求报文,请求由本地虚拟机192.168.130.207发送给阿里云服务器111.48.183.233,请求提交的方法是GET方法。
接下来我们查看应用层协议的详细信息,解释一下Wireshark中间这部份各项对应的含义,首先是Ethernet,这里对应的是数据链路层的信息,可以看到源MAC地址和目标MAC地址;Internet是网络层,可以看到源IP地址和目标IP地址;TransmissionControlProtocol就是传输层,可以看到源端口和目标端口;最后一个就是应用层,本次实验主要讲解的协议,HypertextTransferProtocol也就是HTTP协议。
11.请求行分析,一个HTTP请求报文由请求行(requestline)、请求头部(header)、空行和请求数据4个部分组成,前三行为请求行。请求行中的method表示这次请求使用的是get方法。请求方法的种类比较多,如option,get,post,head,put,delete,trace等,常用的主要是get和post两种。请求方法之后是URI,表示请求的页面地址,即/repo/Centos-7.repo,这是客户端请求的地址,这个地址是该资源再服务器上的地址,还要加上服务器地址才是一个完整的地址。之后是表示http的版本。
get表示请求页面信息,返回页面实体;post是请求服务器将指定文档作为请求的url中的从属实体,简单说,我们常用的在网页中填写表单然后申请等动作就是使用了post方法,填写用户名密码登录站点就使用了post方法。
12.请求首部分析,本次实验请求的是一个文件,如果请求的是一个html页面的话,
User-Agent:提供了客户端浏览器的类型和版本。
Accept:请求的对象类型。如果是“/”表示任意类型,如果是指定的类型,则会变成“type/”。
Host:连接的目标主机,如果连接的服务器是非标准端口,在这里会出现使用的非标准端口。
Connection:对于HTTP连接的处理,keep-alive表示保持连接,如果是在响应报文中发送页面完毕就会关闭连接,状态变为close。
13.请求实体,HTTP请求实体是指在请求或响应中传输的有效载荷数据,通俗的讲就是你要发送给服务器具体数据或者服务器要返回给你的具体数据。
14.HTTP响应报文分析,HTTP响应报文通常分成如下几部分:第一部分是状态行,第二部分是Headers,第三部分是Body。
响应状态行分析:
ResponseVersion:HTTP/1.1是http版本,常用的就是1.1;
StatusCode:200是状态码,常见的有200,表示成功,404,表示找不到内容;
ResponsePhrase:OK是状态信息。
响应首部行分析:
Server:服务器应用程序软件的名称和版本;
Content-Type:响应正文的类型(是图片还是二进制字符串);
Content-Length:响应正文长度;
Connection:连接状态;
Date:表示响应的日期;
本实验请求的是一个文件,如果我们请求的是一个html页面的话,还会看到Content-Charse:响应正文使用的编码,Content-Encoding:响应正文使用的数据压缩格式,
Content-Language:响应正文使用的语言等信息。
响应正文Body:
服务器发送给客户端的内容,也是客户端所请求的内容。
15.状态码拓展
HTTP状态码被分成了五大类。状态码为客户端提供了一种理解事务处理结果的便捷方式。
五、实验总结
本次实验旨在深入了解HTTP协议应用,并通过一次下载任务,抓取HTTP协议数据报文进行详细分析。重点在于理解HTTP协议的基本概念、报文结构,分析HTTP报文头部,掌握HTTP请求和相应过程,以及使用Wireshark工具进行HTTP协议分析技术。实验可能的难点和易错点包括理解HTTP报文结构和字段含义,以及正确使用Wireshark工具捕获和分析数据包。确保对HTTP协议各方面有清晰理解,将有助于顺利完成实验并达到预期的学习目标。