技巧與問答

? HTTP客戶端和服務(wù)器端的消息結(jié)構(gòu)是什么？

（1）HTTP消息結(jié)構(gòu)。

HTTP是基于客戶端/服務(wù)器端（C/S）的架構(gòu)模型，通過一個(gè)可靠的鏈接來(lái)交換信息，是一個(gè)無(wú)狀態(tài)的請(qǐng)求/響應(yīng)協(xié)議。

一個(gè)HTTP“客戶端”是一個(gè)應(yīng)用程序（Web瀏覽器或其他任何客戶端），通過連接到服務(wù)器達(dá)到向服務(wù)器發(fā)送一個(gè)或多個(gè)HTTP的請(qǐng)求的目的。

一個(gè)HTTP“服務(wù)器端”同樣也是一個(gè)應(yīng)用程序（通常是一個(gè)Web服務(wù)，如Apache Web服務(wù)器或IIS服務(wù)器等），通過接收客戶端的請(qǐng)求并向客戶端發(fā)送HTTP響應(yīng)數(shù)據(jù)。

HTTP使用統(tǒng)一資源標(biāo)識(shí)符（Uniform Resource Identifiers, URI）來(lái)傳輸數(shù)據(jù)和建立連接。

一旦建立連接后，數(shù)據(jù)消息就通過類似Internet郵件所使用的格式[RFC5322]和多用途Internet郵件擴(kuò)展（MIME）[RFC2045]來(lái)傳送。

（2）客戶端請(qǐng)求消息。

客戶端發(fā)送一個(gè)HTTP請(qǐng)求到服務(wù)器的請(qǐng)求消息包括以下格式：請(qǐng)求行（request line）、請(qǐng)求報(bào)頭（header）、空行和請(qǐng)求數(shù)據(jù)。圖2-11給出了請(qǐng)求報(bào)文的一般格式。

（3）服務(wù)器響應(yīng)消息。

HTTP響應(yīng)也由4個(gè)部分組成，分別是狀態(tài)行、響應(yīng)報(bào)頭、空行和響應(yīng)正文。

? Web中客戶端和服務(wù)端分別是什么？

客戶端一般由瀏覽器來(lái)充當(dāng)，服務(wù)端一般由IIS這類的服務(wù)器和網(wǎng)站代碼來(lái)實(shí)現(xiàn)。

用于提供瀏覽服務(wù)的服務(wù)器端軟件，稱為Web服務(wù)器。

常用的Web服務(wù)器如下。

（1）IIS。微軟集成在Windows Server服務(wù)器上的Web服務(wù)器軟件，全稱為Internet Information Server，又稱互聯(lián)網(wǎng)信息服務(wù)器。

（2）ASP.NET。Development Server集成在Visual Studio 2005和2008中的Web服務(wù)器，可以處理本機(jī)的請(qǐng)求，用于Web應(yīng)用程序開發(fā)中，它與IIS有細(xì)微的區(qū)別。

? WireShark如何寫過濾規(guī)則？

（1）IP過濾：包括來(lái)源IP或者目標(biāo)IP等于某個(gè)IP。

例如：ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208顯示來(lái)源IP

ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208顯示目標(biāo)IP

（2）端口過濾。

例如：tcp.port eq 80 // 不管端口是來(lái)源的還是目標(biāo)的都顯示

tcp.port == 80

tcp.port eq 2722

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 // 只顯tcp協(xié)議的目標(biāo)端口80

tcp.srcport == 80 // 只顯tcp協(xié)議的來(lái)源端口80

過濾端口范圍：

tcp.port >= 1 and tcp.port <= 80

（3）協(xié)議過濾：tcp。

Udp、arp、icmp、http、Smtp、ftp、Dns、Msnms、Ip、ssl等。

排除ssl包，如！ssl或者not ssl

（4）包長(zhǎng)度過濾。

例如：

udp.length == 26指udp本身固定長(zhǎng)度8加上udp下面那塊數(shù)據(jù)包之和

tcp.len >= 7指的是ip數(shù)據(jù)包（tcp下面那塊數(shù)據(jù)），不包括tcp本身

ip.len == 94除了以太網(wǎng)頭固定長(zhǎng)度14，其他都算是ip.len，即從ip本身到最后

frame.len == 119整個(gè)數(shù)據(jù)包長(zhǎng)度，從eth開始到最后

（5）HTTP模式過濾。

例如：

http.request.method == "GET"
    http.request.method == "POST"
    http.request.uri == "/img/logo-edu.gif"
    http contains "GET"
    http contains "HTTP/1."
    // GET包
    http.request.method == "GET" && http contains "Host:"
    http.request.method == "GET" && http contains "User-Agent:"
    // POST包
    http.request.method == "POST" && http contains "Host:"
    http.request.method == "POST" && http contains "User-Agent:"
    // 響應(yīng)包
    http contains "HTTP/1.1200 OK" && http contains "Content-Type:"
    http contains "HTTP/1.0200 OK" && http contains "Content-Type:"
    一定包含如下
    Content-Type:

（6）連接符and / or。

（7）表達(dá)式：!（arp.src==192.168.1.1）and !（arp.dst.proto_ipv4==192.168.1.243）。