2020春计算机网络实验三应用层
一、DNS
(1)分析发送到DNS服务器的请求分组及响应分组,将相关信息截图下来,并指出DNS服务器返回的www.baidu.com的IP地址。
深蓝色部分为请求分组,淡蓝色的为相应分组。
DNS服务器返回www.baidu.com的IP地址为:
180.101.49.12;180.101.49.11
(2)将DNS服务器返回IP的分组截图,并分析协议层框中相应字段的含义。
第一行,物理层数据帧概况:Frame 105指要发送的数据块,其中抓帧序号为105,捕获字节数等于传送字节数132byte(1056bits)
第二行,数据链路层以太网帧头部信息:源MAC地址,TendaTec_cb:11:f8 (b8:3a:08:cb:11:f8);目标MAC地址,IntelCor_35:ba:dd (e4:70:b8:ba:dd)
第三行,网络层IP包头部信息:IPV4协议,源ip地址为223.5.5.5,目标ip地址为192.168.0.102
第四行,传输层的数据段头部信息:源端口53,目标端口56340
第五行,应用层协议:DNS协议
(3)观察与DNS服务器会话的过程中传输层协议的情况,并进行分析。
请求分组:
源端口为56336,接收端口为53,长度为118字节,checksum为校验和,stream index为wireshark对应每一个ip+port都会产生对应的索引,这里是第二对,下一对分组为第三对。
响应分组:
源端口为53,接收端口为56336,长度为118字节,checksum为校验和
二、HTTP
(1)将“HTTP GET”请求的分组的截图,并分析协议层框中HTTP层字段的含义(选择4个以上分析即可)。
Host:www.ecampus.fudan.edu.cn\r\n 请求主机www.ecampus.fudan.edu.cn
Connection:keep-alive\r\n 使用持久链接
User-Agent:… 浏览器类型(用的是chrome,因为chrome使用WebKit,并伪装成Safari,WebKit伪装成KHTML,KHTML伪装成Gecko,而Gecko自称Mozilla,最后就变成了我们看到的这一长串)
Accept:…请求的类型
(2)通过浏览分组来阅读HTML页面源文件:
找一个有“明文数据”的分组进行截图并分析,在协议层框中选择HTTP层的Data部分,观察原始框中的信息并截图。
(3)观察Web浏览器和Web服务器整个会话过程:
a) 保持选择(3)中的分组,选择菜单“Analyze/Follow/TCP Stream”,整个数据流便显示在一个独立的窗口中,将该窗口截图。
b) 区分Web浏览器发送的数据和Web服务器发送的数据(显示的颜色不同)。
c) 在左下方菜单(初始标签为Entire conversation)选择适当的条目,来隔离不同的会话双方所发送的数据。
d) 关闭此窗口,回到主列表框,注意Filter中的变化,记录下过滤条件。
三、SMTP&POP3
(1)根据捕获的分组,了解发送邮件和接收邮件的过程。
(2)在发送的分组中,选择一个,使用Follow TCP Stream来观察控制通道的全部内容。
(3)基于SMTP的电子邮件报文传输包括三个主要命令:MAIL FROM, RCPT TO及DATA,将TCP Stream截图。
(4)分析POP连接的分组,使用Follow TCP Stream来观察全部的数据交换。
(一行为一个分组)
+OKWelcome … 表示成功连接服务器
USER xxx@fudan.edu.cn 是用户进行明文验证
+OK表示认证成功
PASS …是发送的邮箱密码
+OK… 表示认证成功,进入处理状态
RETE 1 是要求下载第一封邮件
+OK 694octets 表示邮件大小为694字节
之后是邮件的具体内容
最后一个.为结束符
最后Quit退出连接
+OK core mail 表示成功退出
四、讨论与研究
1.RFC 2616定义了HTTP/1.1,其他一些RFC文档也记录了HTTP的相关方面。用RFC Editor搜索引擎(http://www.rfc-editor.org/rfcsearch.html)搜索HTTP。你查询到多少关文档?最近的发布日期是什么?
查到140个文档。
最近的发布日期为2020.2
2.在我们的跟踪记录中,Web服务器回答了“200 OK”来响应所有的请求。如果我们请求一个不存在的页面,比如说http://www.google.com/foobar,它将会应答什么?可以通过Wireshark跟踪或查阅HTTP规范来回答。找出由Wireshark显示的服务器的响应内容,给出HTTP规范的摘录。
但我在实际搜索的时候浏览器会先通过dns得到域名,这里是可以得到网址域名的,但在请求链接的时候并不能收到正常的包……
3.总结由HTTP-NG(HTTP Next Generation)开发组在W3C计划中对下一代HTTP的建议。目前HTTP-NG的成果有哪些?它的目标达到了吗?
(http://www.w3.org/Protocols/HTTP-NG,http://www.w3.org/TR/1998/WD-HTTP- NG-goals)
HTTP-NG建议将协议模块分化为报文传输层、远程调用层、web应用层三个层次。
报文传输层对报文进行管道化和批量化传输来降低往返时延,重用连接、提高传输带宽,对同一连接上同时并用多个报文流,优化共享连接,对报文进行有效的分段使报文边界确定更加容易。下两层负责提供身份验证、消息完整性和信息保密安全服务的子集,应用程序根据较低层提供的服务来提供其他任何所需的服务。
目前好像并没有新的HTTP-NG的成果,并且在如今的基础上对协议进行修改也是一件困难的工作,其目的还未达到。
4.许多Web站点都提供通过HTTP来发送和接收邮件的电子邮件账户。简单地描述一下邮件是如何通过HTTP来发送和接收的。如果你有基于Web的电子邮件账户,可以观察它们是如何实际工作的?
http发送接收邮件:从发送者的浏览器传送到发送方邮件服务器是通过http协议的,而从发送方服务器到接收方邮件服务器仍是smtp协议,从接收方邮件服务器到接收者也通过http协议。
5.垃圾邮件制造者通常在他们发送的邮件中加入伪造的邮件首部。请描述电子邮件首部是如何伪造的?他们这么做能得到什么好处?什么安全防护装置适合用来检测这种伪造? 垃圾邮件已经成为因特网的“瘟疫”。研究反垃圾邮件的最新技术。从历史角度来看,反垃圾邮件的新策略已经受到日益成熟的垃圾邮件技术的严重挑战。这些新提出的技术有希望终结垃圾邮件吗?
因为邮件在传输过程中可能需要中继,但这也被用作隐藏原始地址的手段,并且from和to在邮件发送过程中也可以被轻易伪造。
有些垃圾邮件制造者如此作为是为了传播广告,为自己谋求福利,更有甚者是进行诈骗行为。
目前大部分的邮件服务商可以比对mail_from(实际发件人)和from(宣称发件人),如果不一致会对用户进行提醒。(现在都有黑名单和反向认证等机制,如检查邮件来源IP、检查邮件发送域、反向DNS查询、登录验证等)
黑白名单、hash技术、基于规则的过滤、贝叶斯算法等。往往过滤器会具有多种过滤技术,但难免会有垃圾邮件改变策略绕过过滤器。虽然目前我们依然处在“道高一尺魔高一丈”的状态,但如果可以逐渐实施对基础网络设施、网络协议的改进,增加其透明性,也许终有一天可以把这样的恶扼杀掉。