常见的应用层协议:
DNS、HTTP、SMTP与POP3/IMAP、Telnet、FTP与TFTP
DNS,域名解析系统(6/22,37min)
建立IP地址与域名的映射。
当打开浏览器的“新标签页”时,会产生多个DNS包(打开Wireshark抓包,只查看DNS包)。
产生许多DNS报文:
(不但有“新标签页”的各种域名解析,还包括笔者书签页的域名解析)
进入调试模式:
通过输入域名来获得IP地址,此时在抓包软件中也可以看到。
C:\Users\Admin>nslookup
--------
默认服务器: public1.114dns.com
Address: 114.114.114.114
--------
> www.baidu.com
--------
服务器: public1.114dns.com
Address: 114.114.114.114
非权威应答:
名称: www.a.shifen.com
Addresses: 112.80.248.76
112.80.248.75
Aliases: www.baidu.com
--------
>
查看DNS缓存:
C:\Users\Admin>ipconfig/displaydns
清空DNS缓存:
C:\Users\Admin>ipconfig/flushdns
--------
Windows IP 配置
已成功刷新 DNS 解析缓存。
--------
一台服务器/电脑如何搭建DNS服务,属于WinServer/RHCE课程内容。
eNSP下模拟DNS实验
拓扑:
配置:
PC1:10.1.1.1 255.255.255.0 ,DNS:10.1.1.3
PC2:10.1.1.2 255.255.255.0
Server1:
IP及掩码:10.1.1.3 255.255.255.0,
服务器信息:主机域名为www.baidu.com,IP地址为10.1.1.2(建立映射),增加并启动
验证:
在PC1抓包Ethernet 0/0/1,只查看DNS包。
PC1 CLI界面:
PC>ping www.baidu.com
--------
Ping www.baidu.com [10.1.1.2]: 32 data bytes, Press Ctrl_C to break
From 10.1.1.2: bytes=32 seq=1 ttl=128 time=47 ms
From 10.1.1.2: bytes=32 seq=2 ttl=128 time=47 ms
From 10.1.1.2: bytes=32 seq=3 ttl=128 time=62 ms
From 10.1.1.2: bytes=32 seq=4 ttl=128 time=31 ms
From 10.1.1.2: bytes=32 seq=5 ttl=128 time=46 ms
--- 10.1.1.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/46/62 ms
--------
查看Wireshark:
如上,可以抓取到DNS Query与Answer包。
HTTP,超文本传输协议(6/25,26min)
帮助客户端访问万维网。
网页浏览器通过翻译HTML文件来表现文本、图像、音乐、动画及视频等对象。
HTTP_GET(点一下链接)
HTTP_POST(登录、输入密码)
在HTTP界面下的登录界面,可以通过抓包获取用户名与密码(视频中有实例演示)
提到URL编码/解码
邮件服务SMTP与POP3(6/25,14min)
SMTP,简单邮件传输协议,用于发送邮件。使用SSL加密。
POP3,邮局协议版本3,用于接收邮件。
IMAP,互联网邮件访问协议,类似POP3,功能更多。
提到Foxmail。
Telnet(6/25,18min)
演示了Telnet router-server.ip.att.net
-------------- route-server.ip.att.net ---------------
--------- AT&T IP Services Route Monitor -----------
The information available through route-server.ip.att.net is offered
by AT&T's Internet engineering organization to the Internet community.
This router maintains eBGP peerings with customer-facing routers
throughout the AT&T IP Services Backbone:
IPv4: IPv6: City:
12.122.124.12 2001:1890:ff:ffff:12:122:124:12 Atlanta, GA
12.122.124.67 2001:1890:ff:ffff:12:122:124:67 Cambridge, MA
12.122.127.66 2001:1890:ff:ffff:12:122:127:66 Chicago, IL
12.122.124.138 2001:1890:ff:ffff:12:122:124:138 Dallas, TX
12.122.83.238 2001:1890:ff:ffff:12:122:83:238 Denver, CO
12.122.120.7 2001:1890:ff:ffff:12:122:120:7 Fort Lauderdale, FL
12.122.125.6 2001:1890:ff:ffff:12:122:125:6 Los Angeles, CA
12.122.125.44 2001:1890:ff:ffff:12:122:125:44 New York, NY
12.122.125.106 2001:1890:ff:ffff:12:122:125:106 Philadelphia, PA
12.122.125.132 2001:1890:ff:ffff:12:122:125:132 Phoenix, AZ
12.122.125.165 2001:1890:ff:ffff:12:122:125:165 San Diego, CA
12.122.126.232 2001:1890:ff:ffff:12:122:126:232 San Francisco, CA
12.122.159.217 2001:1890:ff:ffff:12:122:159:217 San Juan, PR
12.122.125.224 2001:1890:ff:ffff:12:122:125:224 Seattle, WA
12.122.126.9 2001:1890:ff:ffff:12:122:126:9 St. Louis, MO
12.122.126.64 2001:1890:ff:ffff:12:122:126:64 Washington, DC
*** Please Note:
Ping and traceroute delay figures measured here are unreliable, due to the
high CPU load experienced when complicated show commands are running.
For questions about this route-server, send email to: jayb@att.com
*** Log in with username 'rviews', password 'rviews' ***
login: rviews
Password:
--- JUNOS 17.1R1-S1 built 2017-04-07 08:21:13 UTC
rviews@route-server.ip.att.net>
以上,美国AT&T的一台Cisco 7206VXR路由器Telnet界面,供学习者与爱好者查看参考。
另,Telnet是不加密的协议,可以通过抓包看到用户通过Telnet查看的内容与输入的指令内容。
如下,笔者在工作环境中Telnet一台交换机。
先打开Wireshark,只抓取Telnet协议包。
然后此时Telnet该台设备。
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: admin
Password:
<XXXX-H3C-slave>sys
System View: return to User View with Ctrl+Z.
[XXXX-H3C-slave]
如上,以上过程中笔者只输入了用户名与密码。
查看抓包:
用户在Telnet后输入了怎样的指令,查看了哪些内容,都可以被抓包抓取到。
用户可以右键某个包,点击追踪流-TCP流。
为什么笔者输入的“admin”与“sys”会显示为“aaddmmiinn”与“ssyyss”呢?
因为每敲一个字符,相当于向服务器(在这里为172.31.1.3这台交换机)发送一个字符,而屏幕上回显一个字符说明服务器回显了这一字符,收发数据共两份。输入密码时不显示密码,为单方面向服务器发送,但内容不回显。
FTP/TFTP(6/29,12min)
文件传输协议、简单文件传输协议(前者可靠,后者不可靠),可用于网络设备的配置文件与系统文件传输。