WireShark抓包數據分析:
1、TCP報文格式
• 源端口、目的端口:16位長。標識出遠端和本地的端口號。
• 順序號:32位長。表明了發送的數據報的順序。
• 確認號:32位長。希望收到的下一個數據報的序列號。
• TCP協議數據報頭DE 頭長:4位長。表明TCP頭中包含多少個32位字。
• 接下來的6位未用。
• ACK:ACK位置1表明確認號是合法的。如果ACK為0,那么數據報不包含確認信息,確認字段被省略。
• PSH:表示是帶有PUSH標志的數據。接收方因此請求數據報一到便可送往應用程序而不必等到緩沖區裝滿時才傳送。
• RST:用於復位由於主機崩潰或其它原因而出現的錯誤的連接。還可以用於拒絕非法的數據報或拒絕連接請求。
• SYN:用於建立連接。
• FIN:用於釋放連接。
• 窗口大小:16位長。窗口大小字段表示在確認了字節之后還可以發送多少個字節。
• 校驗和:16位長。是為了確保高可靠性而設置的。它校驗頭部、數據和偽TCP頭部之和。
• 可選項:0個或多個32位字。包括最大TCP載荷,窗口比例、選擇重發數據報等選項。
• 最大TCP載荷:允許每台主機設定其能夠接受的最大的TCP載荷能力。在建立連接期間,雙方均聲明其最大載荷能力,並選取其中較小的作為標准。如果一台主機未使用該選項,那么其載荷能力缺省設置為536字節。
• 窗口比例:允許發送方和接收方商定一個合適的窗口比例因子。這一因子使滑動窗口最大能夠達到232字節。
• TCP協議數據報頭選擇重發數據報:這個選項允許接收方請求發送指定的一個或多個數據報。
2、TCP三次握手過程
(1)、TCP第一次握手
(2)、TCP第二次握手
(3)、TCP第三次握手
轉文:
1)No1:請求客戶端(10.57.2.232)向服務器(106.39.162.57)發出連接請求。此為TCP三次握手第一步,此時從圖中可以看出,為SYN,seq:X (x=0)
2)No2:服務器(106.39.162.57)回應了請求客戶端(10.57.2.232)的請求,並要求確認,此時為:SYN,ACK,此時seq:y(y為0),ACK:x+1(為1)。此為三次握手的第二步;
3)No3:請求客戶端(10.57.2.232)回應了服務器(106.39.162.57)的確認,連接成功。為:ACK,此時seq:x+1(為1),ACK:y+1(為1)。此為三次握手的第三步;
4)No4:請求客戶端(10.57.2.232)發出一個頁面HTTP請求;
5)No5:服務器(106.39.162.57)確認;
6)No6:服務器(106.39.162.57)發送數據;
TCP 三次握手協議
3、封包詳細信息
這個面板是我們最重要的,用來查看協議中的每一個字段。各行信息分別為:
• Frame: 物理層的數據幀概況
• Ethernet II: 數據鏈路層以太網幀頭部信息
• Internet Protocol Version 4: 互聯網層IP包頭部信息
• Transmission Control Protocol: 傳輸層T的數據段頭部信息,此處是TCP
• Hypertext Transfer Protocol: 應用層的信息,此處是HTTP協議
4、HTTP常見請求頭如下:
• Accept:瀏覽器可接受的MIME類型;
• Accept-Charset:瀏覽器可接受的字符集;
• Accept-Encoding:瀏覽器能夠進行解碼的數據編碼方式,比如gzip。Servlet能夠向支持gzip的瀏覽器返回經gzip編碼的HTML頁面。許多情形下這可以減少5到10倍的下載時間;
• Accept-Language:瀏覽器所希望的語言種類,當服務器能夠提供一種以上的語言版本時要用到;
• Authorization:授權信息,通常出現在對服務器發送的WWW-Authenticate頭的應答中;
• Connection:表示是否需要持久連接。如果Servlet看到這里的值為“Keep-Alive”,或者看到請求使用的是HTTP 1.1(HTTP 1.1默認進行持久連接),它就可以利用持久連接的優點,當頁面包含多個元素時(例如Applet,圖片),顯著地減少下載所需要的時間。要實現這一點,Servlet需要在應答中發送一個Content-Length頭,最簡單的實現方法是:先把內容寫入ByteArrayOutputStream,然后在正式寫出內容之前計算它的大小;
• Content-Length:表示請求消息正文的長度;
• Cookie:這是最重要的請求頭信息之一;
• From:請求發送者的email地址,由一些特殊的Web客戶程序使用,瀏覽器不會用到它;
• Host:初始URL中的主機和端口;
• If-Modified-Since:只有當所請求的內容在指定的日期之后又經過修改才返回它,否則返回304“Not Modified”應答;
• Pragma:指定“no-cache”值表示服務器必須返回一個刷新后的文檔,即使它是代理服務器而且已經有了頁面的本地拷貝;
• Referer:包含一個URL,用戶從該URL代表的頁面出發訪問當前請求的頁面。
• User-Agent:瀏覽器類型,如果Servlet返回的內容與瀏覽器類型有關則該值非常有用;
• UA-Pixels,UA-Color,UA-OS,UA-CPU:由某些版本的IE瀏覽器所發送的非標准的請求頭,表示屏幕大小、顏色深度、操作系統和CPU類型。
5、相應頭
• Allow:服務器支持哪些請求方法(如GET、POST等); • Content-Encoding:文檔的編碼(Encode)方法。只有在解碼之后才可以得到Content-Type頭指定的內容類型。利用gzip壓縮文檔能夠顯著地減少HTML文檔的下載時間。Java的GZIPOutputStream可以很方便地進行gzip壓縮,但只有Unix上的Netscape和Windows上的IE 4、IE 5才支持它。因此,Servlet應該通過查看Accept-Encoding頭(即request.getHeader("Accept-Encoding"))檢查瀏覽器是否支持gzip,為支持gzip的瀏覽器返回經gzip壓縮的HTML頁面,為其他瀏覽器返回普通頁面;
• Content-Length:表示內容長度。只有當瀏覽器使用持久HTTP連接時才需要這個數據。如果你想要利用持久連接的優勢,可以把輸出文檔寫入ByteArrayOutputStram,完成后查看其大小,然后把該值放入Content-Length頭,最后通過byteArrayStream.writeTo(response.getOutputStream()發送內容;
• Content-Type: 表示后面的文檔屬於什么MIME類型。Servlet默認為text/plain,但通常需要顯式地指定為text/html。由於經常要設置Content-Type,因此HttpServletResponse提供了一個專用的方法setContentTyep。 可在web.xml文件中配置擴展名和MIME類型的對應關系;
• Date:當前的GMT時間。你可以用setDateHeader來設置這個頭以避免轉換時間格式的麻煩;
• Expires:指明應該在什么時候認為文檔已經過期,從而不再緩存它。
• Last-Modified:文檔的最后改動時間。客戶可以通過If-Modified-Since請求頭提供一個日期,該請求將被視為一個條件GET,只有改動時間遲於指定時間的文檔才會返回,否則返回一個304(Not Modified)狀態。Last-Modified也可用setDateHeader方法來設置;
• Location:表示客戶應當到哪里去提取文檔。Location通常不是直接設置的,而是通過HttpServletResponse的sendRedirect方法,該方法同時設置狀態代碼為302;
• Refresh:表示瀏覽器應該在多少時間之后刷新文檔,以秒計。除了刷新當前文檔之外,你還可以通過setHeader("Refresh", "5; URL=http://host/path")讓瀏覽器讀取指定的頁面。注意這種功能通常是通過設置HTML頁面HEAD區的<META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://host/path">實現,這是因為,自動刷新或重定向對於那些不能使用CGI或Servlet的HTML編寫者十分重要。但是,對於Servlet來說,直接設置Refresh頭更加方便。注意Refresh的意義是“N秒之后刷新本頁面或訪問指定頁面”,而不是“每隔N秒刷新本頁面或訪問指定頁面”。因此,連續刷新要求每次都發送一個Refresh頭,而發送204狀態代碼則可以阻止瀏覽器繼續刷新,不管是使用Refresh頭還是<META HTTP-EQUIV="Refresh" ...>。注意Refresh頭不屬於HTTP 1.1正式規范的一部分,而是一個擴展,但Netscape和IE都支持它。