网络抓包与HTTP协议

一：TCP协议：

传输控制协议（英語：Transmission Control Protocol，縮寫：TCP）是一种面向连接的、可靠的、基于字节流的传输层通信协议，由IETF的RFC 793定义。 在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功能。 用户数据报协议（UDP）是同一层内另一个重要的传输协议

TCP工作原理：

下面以采用TCP/IP协议传送文件为例，说明TCP/IP的工作原理，其中应用层传输文件采用文件传输协议
（FTP）。
TCP/IP协议的工作流程如下：
1.在源主机上，应用层将一串应用数据流传送给传输层。
2.传输层将应用层的数据流截成分组，并加上TCP报头形成TCP段，送交网络层。
3.在网络层给TCP段加上包括源、目的主机IP地址的IP报头，生成一个IP数据包，并将IP数据包送交链路
层。
4.链路层在其MAC帧的数据部分装上IP数据包，再加上源、目的主机的MAC地址和帧头，并根据其目的MAC
地址，将MAC帧发往目的主机或IP路由器。
5.在目的主机，链路层将MAC帧的帧头去掉，并将IP数据包送交网络层。
6.网络层检查IP报头，如果报头中校验和与计算结果不一致，则丢弃该IP数据包；若校验和与计算结果
一致，则去掉IP报头，将TCP段送交传输层。
7.传输层检查顺序号，判断是否是正确的TCP分组，然后检查TCP报头数据。若正确，则向源主机发确认
信息；若不正确或丢包，则向源主机要求重发信息。
8.在目的主机，传输层去掉TCP报头，将排好顺序的分组组成应用数据流送给应用程序。这样目的主机接
收到的来自源主机的字节流，就像是直接接收来自源主机的字节流一样。

 二：HTTP协议：

  简介： HTTP协议（HyperText Transfer Protocol，超文本传输协议）是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效，使网络传输减少。它不仅保证计算机正确快速地传输超文本文档，还确定传输文档中的哪一部分，以及哪部分内容首先显示(如文本先于图形)等。

  IP：计算机之间的通信

        IP协议是计算机用来相互识别的通信的一种机制，每台计算机都有一个IP.用来在internet上标识这台计算机。  IP 负责在因特网上发送和接收数据包。通过 IP，消息（或者其他数据）被分割为小的独立的包，并通过因特网在计算机之间传送。IP 负责将每个包路由至它的目的地。

        IP协议仅仅是允许计算机相互发消息，但它并不检查消息是否以发送的次序到达而且没有损坏（只检查关键的头数据）。为了提供消息检验功能，直接在IP协议上设计了传输控制协议TCP.

         TCP : 应用程序之间的通信

       TCP确保数据包以正确的次序到达，并且尝试确认数据包的内容没有改变。TCP在IP地址之上引端口（port），它允许计算机通过网络提供各种服务。一些端口号为不同的服务保留，而且这些端口号是众所周知。

       服务或者守护进程：在提供服务的机器上，有程序监听特定端口上的通信流。例如大多数电子邮件通信流出现在端口25上，用于wwww的HTTP通信流出现在80端口上。

       当应用程序希望通过 TCP 与另一个应用程序通信时，它会发送一个通信请求。这个请求必须被送到一个确切的地址。在双方“握手”之后，TCP 将在两个应用程序之间建立一个全双工 (full-duplex) 的通信，占用两个计算机之间整个的通信线路。TCP 用于从应用程序到网络的数据传输控制。TCP 负责在数据传送之前将它们分割为 IP 包，然后在它们到达的时候将它们重组。

       TCP/IP 就是TCP 和 IP 两个协议在一起协同工作，有上下层次的关系。

       TCP 负责应用软件（比如你的浏览器）和网络软件之间的通信。IP 负责计算机之间的通信。TCP 负责将数据分割并装入 IP 包，IP 负责将包发送至接受者，传输过程要经IP路由器负责根据通信量、网络中的错误或者其他参数来进行正确地寻址，然后在它们到达的时候重新组合它们。

 HTTP是基于TCP协议之上的。在TCP/IP协议参考模型的各层对应的协议如下图,其中HTTP是应用层的协议。

 三：WireShark：

简介：Wireshark. Wireshark（前称Ethereal）是一个 网络封包 分析软件。. 网络封包分析 软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。. Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。. 在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。. Ethereal的出现改变了这一切。. 在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其 源代码 ，并拥有针对其源代码修改及 客制化 的权利。. Ethereal是全世界最广泛的网络封包分析软件之一

工作流程：

1.确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。
2.选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。
3.使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。
4.使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。
5.使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。
6.构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。
7.重组数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

四：网络抓包：

选择接口：选择网卡，右键，Start Capture(开始捕获)，点击即可进行捕获该网络信息，开始抓取网络包

过滤：

观察TCP的三次握手：

随机选取一条记录，右键，追踪流，选择tcp

 第二次第三次同理

 

 

五：Fiddler查看返回数据 ：

选中HTTP，允许权限。