技巧与问答

❖ HTTP客户端和服务器端的消息结构是什么？

（1）HTTP消息结构。

HTTP是基于客户端/服务器端（C/S）的架构模型，通过一个可靠的链接来交换信息，是一个无状态的请求/响应协议。

一个HTTP“客户端”是一个应用程序（Web浏览器或其他任何客户端），通过连接到服务器达到向服务器发送一个或多个HTTP的请求的目的。

一个HTTP“服务器端”同样也是一个应用程序（通常是一个Web服务，如Apache Web服务器或IIS服务器等），通过接收客户端的请求并向客户端发送HTTP响应数据。

HTTP使用统一资源标识符（Uniform Resource Identifiers, URI）来传输数据和建立连接。

一旦建立连接后，数据消息就通过类似Internet邮件所使用的格式[RFC5322]和多用途Internet邮件扩展（MIME）[RFC2045]来传送。

（2）客户端请求消息。

客户端发送一个HTTP请求到服务器的请求消息包括以下格式：请求行（request line）、请求报头（header）、空行和请求数据。图2-11给出了请求报文的一般格式。

（3）服务器响应消息。

HTTP响应也由4个部分组成，分别是状态行、响应报头、空行和响应正文。

❖ Web中客户端和服务端分别是什么？

客户端一般由浏览器来充当，服务端一般由IIS这类的服务器和网站代码来实现。

用于提供浏览服务的服务器端软件，称为Web服务器。

常用的Web服务器如下。

（1）IIS。微软集成在Windows Server服务器上的Web服务器软件，全称为Internet Information Server，又称互联网信息服务器。

（2）ASP.NET。Development Server集成在Visual Studio 2005和2008中的Web服务器，可以处理本机的请求，用于Web应用程序开发中，它与IIS有细微的区别。

❖ WireShark如何写过滤规则？

（1）IP过滤：包括来源IP或者目标IP等于某个IP。

例如：ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208显示来源IP

ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208显示目标IP

（2）端口过滤。

例如：tcp.port eq 80 // 不管端口是来源的还是目标的都显示

tcp.port == 80

tcp.port eq 2722

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 // 只显tcp协议的目标端口80

tcp.srcport == 80 // 只显tcp协议的来源端口80

过滤端口范围：

tcp.port >= 1 and tcp.port <= 80

（3）协议过滤：tcp。

Udp、arp、icmp、http、Smtp、ftp、Dns、Msnms、Ip、ssl等。

排除ssl包，如！ssl或者not ssl

（4）包长度过滤。

例如：

udp.length == 26指udp本身固定长度8加上udp下面那块数据包之和

tcp.len >= 7指的是ip数据包（tcp下面那块数据），不包括tcp本身

ip.len == 94除了以太网头固定长度14，其他都算是ip.len，即从ip本身到最后

frame.len == 119整个数据包长度，从eth开始到最后

（5）HTTP模式过滤。

例如：

http.request.method == "GET"
    http.request.method == "POST"
    http.request.uri == "/img/logo-edu.gif"
    http contains "GET"
    http contains "HTTP/1."
    // GET包
    http.request.method == "GET" && http contains "Host:"
    http.request.method == "GET" && http contains "User-Agent:"
    // POST包
    http.request.method == "POST" && http contains "Host:"
    http.request.method == "POST" && http contains "User-Agent:"
    // 响应包
    http contains "HTTP/1.1200 OK" && http contains "Content-Type:"
    http contains "HTTP/1.0200 OK" && http contains "Content-Type:"
    一定包含如下
    Content-Type:

（6）连接符and / or。

（7）表达式：!（arp.src==192.168.1.1）and !（arp.dst.proto_ipv4==192.168.1.243）。