抓包分析和协议文档格式.docx
- 文档编号:16321980
- 上传时间:2022-11-22
- 格式:DOCX
- 页数:14
- 大小:775.57KB
抓包分析和协议文档格式.docx
《抓包分析和协议文档格式.docx》由会员分享,可在线阅读,更多相关《抓包分析和协议文档格式.docx(14页珍藏版)》请在冰豆网上搜索。
Foxmail6正式版
3.Wireshark:
V1.4.9
四、试验过程
(一)邮箱登录及邮件接收过程(POP3协议)
1.POP3协议介绍[1]
POP3(PostOfficeProtocol3)即邮局协议第3个版本,它是要求个人计算机怎样连接到互联网上邮箱服务器进行收发邮件协议。
它是因特网电子邮件第一个离线协议标准,POP3协议许可用户从服务器上把邮件存放到本机主机上,同时依据用户端操作删除或保留在邮箱服务器上邮件。
而POP3服务器则是遵照POP3协议接收邮件服务器,用来接收电子邮件。
POP3协议是TCP/IP协议族中一员,由RFC1939定义。
本协议关键用于支持使用用户端远程管理在服务器上电子邮件。
2.试验过程
(1)准备工作
●申请一个126邮箱
●安装并配置Foxmail,将接收和发送邮件服务器分别设置为POP3服务器和SMTP服务器
●在安装好Foxmail上添加申请到126邮箱账户
添加后邮箱信息
(2)打开Wireshark软件,选择正在联网网卡,开始抓包。
(3)打开Foxmail,选择邮箱账号登录,点击左上角收取,邮箱开始连接服务器。
(4)关闭Foxmail,Wireshark停止抓包,找到包位置,能够发觉账号和密码全部被找出来了。
3.分析过程
经过查找资料可知,主机向POP3服务器发送命令采取命令行形式,用ASCII码表示。
服务器响应是由一个单独命令行组成或多个命令行组成,响应第一行以ASCII文本+OK或-ERR(OK指成功,-ERR指失败)指出对应操作状态是成功还是失败。
由上述报文能够分析出以下过程:
●因为POP3协议默认传输协议时TCP协议[2],所以连接服务器要优异行三次握手
●主机需要提供账号和密码,并等候服务器确定
●认证成功以后,开始进入处理阶段
Ø
主机向服务器发送命令码STAT,服务器向主机发回邮箱统计资料,包含邮件总数和总字节数(3个邮件,共17393个字节)
主机向服务器发送命令码UIDL,服务器返回每个邮件唯一标识符
三个邮件标识符
主机向服务器发送命令码LIST,服务器返回邮件数量和每个邮件大小
三个邮件大小分别是14417字节、882字节、2096字节
主机向服务器发送命令码QUIT,终止会话。
●深入分析可得到以下信息(以主机向服务器发送密码为例)
本机端口号为65500服务器端口号为110
本机和服务器MAC地址
POP协议是基于TCP/IP协议
4.过程总结
由上述试验结果和试验分析可知,账户登录过程为:
当邮件发送到服务器后,账户登录时,电子邮件用户端会调用邮件用户端程序连接服务器,连接时优异行身份验证(账号和密码),验证成功以后经过向服务器发送部分命令码,从而取得全部未读电子邮件信息到主机,完成登录过程和新邮件信息获取。
从抓包结果来看,用户端向服务器采取明码来发送用户名和密码,在认证状态下服务器等候用户端连接时,用户端发出连接请求,并把由命令组成user/pass用户身份信息数据明文发送给服务器。
所以在抓包时能够看到未加密密码。
(二)邮件发送过程(SMTP协议)
1.SMTP协议介绍
SMTP(SimpleMailTransferProtocol)即简单邮局传输协议。
用于电子邮件系统中发送邮件。
它是一组用于由源地址到目标地址传送邮件规则,由它来控制信件中转方。
SMTP协议使用用户端/服务器模型,发送邮件进程是用户端,接收邮件进程是服务器[3]。
SMTP协议基于TCP协议,它帮助每台计算机在发送或中转信件时找到下一个目标地。
经过SMTP协议所指定服务器,就能够把E-mail寄到收信人服务器上了。
SMTP服务器则是遵照SMTP协议发送邮件服务器,用来发送或中转发出电子邮件。
SMTP默认端口是25.
(1)准备阶段
软件和用户端已安装配置完成。
(2)打开Foxmail用户端,点击撰写按钮
填写收件人账号和专题,输入邮件内容(我填写账号为,内容为MerryChristmas!
!
)
(3)打开Wireshark软件,选择正在上网网卡,开始抓包
(4)点击Foxmail用户端,对于已编写好邮件,点击左上角发送按钮,邮件开始发送,发送成功以后,关闭界面,
(5)Wireshark停止抓包,查找
(1)过程描述和解释
SMTP协议在发送SMTP和接收SMTP之间会话是靠发送SMTPSMTP命令和接收SMTP反馈应答来完成。
在通讯链路建立后,发送SMTP发送MAIL命令指令邮件发送者,若接收SMTP此时能够接收邮件则作出OK应答,然后发送SMTP继续发出RCPT命令以确定邮件是否收到,假如接收到就作出OK应答,不然就发出拒绝接收应答,但这并不会对整个邮件操作造成影响。
双方如此反复数次,直至邮件处理完成[4]。
具体过程以下:
⏹因为SMTP协议是基于TCP,所以优异行三次握手,用户端和服务器建立TCP连接,服务器返回连接信息,表示是否连接成功
⏹用户端向服务器发送命令“HELO”,并加上本机主机名(123shi),服务器响应并回复(250表示服务器可用)
⏹用户端向服务器发送用户登录命令“AUTHLOGIN”,服务器回复表示接收(“334”表示接收)
⏹用户端分别向服务器发送编码后用户名和密码,服务器分别回复“334”“235”表示接收
因为SMTP要求用户名和密码全部经过64位编码后再发送,不接收明文[5]
⏹用户端分别前后向服务器发送“MAILFROM”和“RCPTTO”命令,后面分别加上发件人邮箱地址和收件人邮箱地址,服务器分别回应“250MailOK”表示成功接收
⏹接下来用户端向服务器发送命令“DATA”,表示将要向服务器发送邮件正文,服务器回应“354Enddatawith<
CR>
<
LF>
.<
”表示同意接收
⏹然后用户端将邮件拆分为3个包发送给服务器(大小分别是356bytes、1460bytes,244bytes),服务器回应表示成功接收(250)
⏹邮件已成功发送到服务器,用户端向服务器发送命令“QUIT”,释放服务器连接,服务器返回“221”表示同意
⏹双方释放TCP连接,通信过程结束
(2)邮件信息分析
刚开始打开拆分成三个包,并没有找到相关邮件内容什么信息,因为已经被拆分成了三个包,所以找不到也是情有可原了,但能够得到总大小为2060。
第一个包(包号39,大小356bytes)
第二个包(包号40,大小1460bytes)
第三个包(包号41,大小244bytes)
但在第43个包IMF包里找到了邮件完整信息
由包内内容能够得到很多信息:
✧邮件是经过由包39,40,41得来,总大小为356+1460+244=2060
✧邮件发送日期,发件人名称和地址,收件人名称和地址
✧邮件专题(已编码)、用户端信息、正文内容等
以行为单位文本数据:
HTML文本,即文件格式(显然已加密)
经过这次试验是我了解了很多,SMTP协议是基于TCP协议,用于在网络上发送电子邮件。
经过用户端和服务器通信过程,每次向服务器发送不一样命令,得到服务器回应可知是否成功,直到把邮件发送到服务器上。
以后服务器由一条已经建立好传输通道把邮件送到收件人所用服务器上,收件人再依据POP协议从服务器上接收邮件,从而完成邮件发送和接收过程。
和POP3协议不一样是,SMTP协议中用户端向服务器发送用户名和密码时不是明文发送,需要经过64位编码后再发送,所以经过抓包是看不到。
而且文本内容也是加密。
五、试验总结
经过此次试验,使得我对邮件发送和接收过程有了一定了解,锻炼了我工具使用和分析协议能力,也加深了我对网络协议爱好,正如教员所说,分析协议是一件很好玩事情,网络协议看似很复杂,但相互之间还是有很多联络,认真研究真会产生很多乐趣。
因为没有系统学习过网络协议分析,又没有做过协议分析,半路子出家,查找资料过程中难免会存在部分了解上偏差,有些地方分析会显得很肤浅甚至是错误,而且此次试验关键分析了协议过程,而对每个包具体分析还显得不够,还请教员多多指导!
六、参考文件
[1]baidu百科——POP3
[2]baidu文库——【论文】SMTP、POP3协议解析及实战
[3]《网络协议分析》第一版寇晓蕤罗军勇蔡廷荣机械工业出版社
[4]baidu百科——SMPT
[5]
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 分析 协议