Wireshark数据抓包分析之HTTP协议

最新推荐文章于 2024-12-02 22:24:47 发布

原创

最新推荐文章于 2024-12-02 22:24:47 发布 · 2.5k 阅读

4 ·

CC 4.0 BY-SA版权

文章标签：

#http #wireshark #服务器

本文详细介绍了使用Wireshark分析HTTP协议的工作，包括HTTP的基本概念、请求方法、工作流程，以及非持久性连接与持久性连接的对比。通过实际的实验步骤，演示了如何配置HFS软件获取HTTP的GET和POST数据，以及如何分析HTTP数据包，深入理解HTTP请求报文和响应报文的格式，最后探讨了POST方法的数据包分析。

预备知识

1.什么是HTTP

HTTP（HyperText Transfer Protocol，超文本传输协议）是Web系统最核心的内容，它是Web服务器和客户端直接进行数据传输的规则。Web服务器就是平时所说的网站，是信息内容的发布者。最常见的客户端就是浏览器，是信息内容的接受者。
HTTP（HyperText Transfer Protocol，超文本传输协议）协议是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效，使网络传输减少。它不仅保证计算机正确快速地传输超文本文档，还确定传输文档中的哪一部分，以及哪部分内容首先显示（如文本先于图形）等。HTTP是一个应用层协议，有请求和响应构成，是一个标准的客户端服务器模型。
HTTP具有以下几个特点：
1.支持客户/服务器模式，支持基本认证和安全认证。
2.简单快速：客户端向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不同。由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。
3.灵活：HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。
4.HTTP 0.9和1.0使用非持续连接：限制每次连接只处理一个请求，服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。HTTP 1.1使用持续连接：不必为每个web对象创建一个新的连接，一个连接可以传送多个对象。
5.无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。

2.HTTP请求方法

HTTP/1.1协议中共定义了8种动作（方法）来表明Request-URI指定的资源的不同操作方式。
（1）OPTIONS：返回服务器针对特定资源所支持的HTTP请求方法，也可以利用向Web服务器发送“*”的请求来测试服务器的功能性。
（2）HEAD：向服务器索要与GET请求相一致的响应，只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下，就可以获取包含在响应消息头中的元信息。
（3）GET：向特定的资源发出请求。注意：get方法不应当被用于产生“副作用”的操作中。例如在Web APP中，其中一个原因是GET可能会被网站蜘蛛等随意访问。
（4）POST：向指定资源提交数据进行处理请求（比如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的建立或已有资源的修改。
（5）PUT：向指定资源位置上传其最新内容。
（6）DELETE：请求服务器删除Request-URI所标识的资源。
（7）TRACE：回显服务器收到的请求，主要用于测试或者诊断。
（8）CONNECT：HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。
在大部分情况下，只会用到GET和HEAD方法，并且这些方法是区分大小写的，当某个请求所针对的资源不支持对应的请求方法的时候，服务器应当返回状态码405，当服务器不认识或不支持对应的请求方法的时候，应当返回状态行501。

3.HTTP工作流程

HTTP是一个无状态的协议。无状态是指客户端（Web浏览器）和服务器之间不需要建立持久的链接。这意味着当一个客户端向服务器端发出请求，然后Web服务器返回响应“*”（response），连接就被关闭了，在服务器端不保留连接的有关信息。HTTP遵循请求（Request）/应答（Response）模型。客户端（Web浏览器）向Web服务器发送请求，Web服务器处理请求并返回适当的应答。所有HTTP连接都被构造成一套请求和应答。在该过程中要经过4个阶段，包括建立连接、发送请求信息、发送响应信息和关闭连接，如下图所示：
在这里插入图片描述
下面详细介绍上图中描述的HTTP工作流程，如下：
1.客户端通过TCP三次握手与服务器建立连接。
2.TCP建立连接成功后，向服务器发送HTTP请求。
3.服务器接收客户端的HTTP请求后，将返回应答，并向客户端发送数据。
4.客户端通过TCP四次断开，与服务器断开TCP连接。

4.持久性连接与非持久性连接

浏览器与web服务器建立TCP连接后，双方就可以通过发送请求信息和应答信息进行数据传输。在HTTP协议中，规定TCP链接既可以是持久的，也可以是非持久的。具体采用哪种链接方式，可以由通用头域中的Connection指定。在HTTP/1.0版本中，默认使用的是非持久性连接，在HTTP/1.1版本中，默认使用的是持久性连接。

4.1 非持久连接

非持久性连接就是每个TCP连接只用于传输一个请求消息和一个响应消息。用户每请求一次Web页面，就产生一个TCP连接。为了更详细的了解非持久连接，下面简单介绍一个例子。
假设在非持久连接的情况下服务器向客户端传送一个web页面。假设该贝面由1个基本HTML文件和10个JPEG图像构成，而且所有这些对象都存放在同一台服务器主机中。再假设该基本HTML文件的URL为http://www.example.cn/somepath/index.html，则传输步骤如下所示。
1.HTTP客户段首先与主机www.example.cn中的Web服务器建立TCP连接。Web服务器使用默认端口号80监听来自HTTP客户的连接建立请求。
2.HTTP客户段通过TCP连接向服务器发送—个HTTP请求消息。这个消息中包含路径名/somepath/index.html。
3.Web服务器通过TCP连接接收这个请求消息后，从服务器主机的内存或硬盘中取出对象/somepath/index.html，经由同一个套接字发出包含该对象的响应消息。
4.Web服务器告知本机的TCP协议栈关闭这个TCP连接。但是TCP协议栈要到客户端收到刚才这个应答消息之后，才会真正终止这个链接。
5.HTTP客户经由同一个套接字接收这个响应消息。TCP连接随后终止。
6.该消息标明所封装的对象是一个HTML文件。客户从中取出这个文件，加以分析后发现其中有10个JPEG对象的引用。
7.这时候客户端在重复步骤1~5，从服务器得到所引用的每一个JPEG对象。
上述步骤之所以称为使用非持久连接，原因是每次服务器发出一个对象后，相应的TCP连接就被关闭，也就是说每个连接都没有持续到可用于传送其他对象。每个TCP连接只用于传输一个请求消息和一个响应消息。就上述例子而言，用户每请求一次那个web页面，就产生一个TCP连接。
实际上，客户端还可以通过并行的TCP连接同时取得其中的某些JPEG对象。这样可以大大提高数据传输速度，缩短响应时间。目前的浏览器允许用户通过配置来控制并行连接的数目，大多浏览器默认可以打开5-10个并行的TCP连接，每个连接处理一个请求/应答事务。
根据以上例子的描述，可以发现非持久连接具有如下几个缺点。
首先，客户得为每个待请求的对象建立并维护一个新的连接。对于每个这样的连接，TCP得在客户端和服务器端分配TCP缓冲区，并维持TCP变量。对于有可能同时为来自数百个不同客户的请求提供服务的web服务器来说，这会严重增加其负担。其次，每个对象都有2个RTT（Round-Trip Time，往返时延）的响应延长。一个RTT用于建立TCP连接，另—个RTT用于请求和接收对象。最后，每个对象都要经过TCP缓启动，因为每个TCP连接都起始于缓启动阶段。不过并行TCP连接的使用能够部分减轻RTT延迟和缓启动延迟的影响。

4.2 持久连接

持久连接是指服务器在发出响应后让TCP连接继续打开着。同一对客户/服务器之间的后续请求和响应可以通过这个连接发送。整个Web页面（上例中为包含一个基本HTMLL文件和10个图像的页面）自不用说可以通过单个持久TCP连接发送：甚至存放在同一个服务器中的多个web页面也可以通过单个持久TCP连接发送。
通常，HTTP服务器在某个连接闲置一段特定时间后关闭它，而这段时间通常是可以配置的。持久连接分为不带流水线（without pipelining）和带流水线（with pipelining）两个版本。如果是不带流水线的版本，那么客户只在收到前一个请求的响应后才发出新的请求。这种情况下，web页面所引用的每个对象（上例中的10个图像）都经历1个RTT的延迟，用于请求和接收该对象。与非持久连接2个RTT的延迟相比，不带流水线的持久连接已有所改善，不过带流水线的持久连接还能进一步降低响应延迟。不带流水线版本的另一个缺点是，服务器送出一个对象后开始等待下一个请求，而这个新请求却不能马上到达。这段时间服务器资源便闲置了。
HTTP/1.1的默认模式使用带流水线的持久连接。这种情况下，HTTP客户每碰到一个引用就立即发出一个请求，因而HTTP客户可以一个接一个紧挨着发出各个引用对象的请求。服务器收到这些请求后，也可以一个接一个紧挨着发出各个对象。与非流水线模式相比，流水线模式的效率要高得多。