Wireshark抓包分析POP3和SMTP協(xié)議

1、Wireshark抓包分析POP3和SMTP協(xié)議一、 實驗?zāi)康?. 初步掌握Wireshark的使用方法，熟悉抓包流程；2. 通過對Wireshark抓包實例進行分析，加強對POP3協(xié)議和SMTP協(xié)議的理解；3. 培養(yǎng)動手實踐能力和自主學(xué)習(xí)自主探究的精神。二、 實驗要求利用Wireshark軟件抓包，得到郵箱登錄的信息和發(fā)送郵件的信息，并根據(jù)所抓包對POP3協(xié)議和SMTP協(xié)議進行分析。三、 實驗環(huán)境1. 系統(tǒng)環(huán)境：Windows 8專業(yè)版2. 郵件接收：Foxmail 6正式版3. Wireshark：V1.4.9四、 實驗過程（一） 郵箱登錄及郵件接收過程（POP3協(xié)議）1. POP3協(xié)議簡

2、介1 POP3(Post Office Protocol 3)即郵局協(xié)議的第3個版本，它是規(guī)定個人計算機如何連接到互聯(lián)網(wǎng)上的郵箱服務(wù)器進行收發(fā)郵件的協(xié)議。它是因特網(wǎng)電子郵件的第一個離線協(xié)議標(biāo)準(zhǔn)，POP3協(xié)議允許用戶從服務(wù)器上把郵件存儲到本機主機上，同時根據(jù)客戶端的操作刪除或保存在郵箱服務(wù)器上的郵件。而POP3服務(wù)器則是遵循POP3協(xié)議的接收郵件服務(wù)器，用來接收電子郵件的。POP3協(xié)議是TCP/IP協(xié)議族中的一員，由RFC 1939 定義。本協(xié)議主要用于支持使用客戶端遠(yuǎn)程管理在服務(wù)器上的電子郵件。2. 實驗過程（1） 準(zhǔn)備工作l 申請一個126郵箱l 安裝并配置Foxmail，將接收和發(fā)送郵件的

3、服務(wù)器分別設(shè)置為POP3服務(wù)器和SMTP服務(wù)器l 在安裝好的Foxmail上添加申請到的126郵箱賬戶添加后的郵箱信息（2） 打開Wireshark軟件，選擇正在聯(lián)網(wǎng)的網(wǎng)卡，開始抓包。（3） 打開Foxmail，選擇郵箱賬號登錄，點擊左上角收取，郵箱開始連接服務(wù)器。（4） 關(guān)閉Foxmail，Wireshark停止抓包，找到包的位置，可以發(fā)現(xiàn)賬號和密碼都被找出來了。3. 分析過程通過查找資料可知，主機向POP3服務(wù)器發(fā)送的命令采用命令行形式，用ASCII碼表示。服務(wù)器響應(yīng)是由一個單獨的命令行組成或多個命令行組成，響應(yīng)第一行以ASCII文本+OK或-ERR(OK指成功，-ERR指失敗）指出相應(yīng)的

4、操作狀態(tài)是成功還是失敗。由上述報文可以分析出如下過程：l 因為POP3協(xié)議默認(rèn)的傳輸協(xié)議時TCP協(xié)議2，因此連接服務(wù)器要先進行三次握手l 主機需要提供賬號和密碼，并等待服務(wù)器確認(rèn)l 認(rèn)證成功以后，開始進入處理階段 主機向服務(wù)器發(fā)送命令碼STAT，服務(wù)器向主機發(fā)回郵箱的統(tǒng)計資料，包括郵件總數(shù)和總字節(jié)數(shù)（3個郵件，共17393個字節(jié)） 主機向服務(wù)器發(fā)送命令碼UIDL，服務(wù)器返回每個郵件的唯一標(biāo)識符三個郵件的標(biāo)識符 主機向服務(wù)器發(fā)送命令碼LIST，服務(wù)器返回郵件數(shù)量和每個郵件的大小三個郵件的大小分別是14417字節(jié)、882字節(jié)、2096字節(jié) 主機向服務(wù)器發(fā)送命令碼QUIT，終止會話。l 進一步分析可

5、得到如下信息（以主機向服務(wù)器發(fā)送密碼為例） 本機的端口號為65500 服務(wù)器端口號為110 本機和服務(wù)器MAC地址 POP協(xié)議是基于TCP/IP的協(xié)議4. 過程總結(jié)由上述實驗結(jié)果和實驗分析可知，賬戶的登錄過程為：當(dāng)郵件發(fā)送到服務(wù)器后，賬戶登錄時，電子郵件客戶端會調(diào)用郵件客戶端程序連接服務(wù)器，連接時先進行身份驗證（賬號和密碼），驗證成功以后通過向服務(wù)器發(fā)送一些命令碼，從而獲得所有未讀的電子郵件信息到主機，完成登錄過程和新郵件信息的獲取。從抓包結(jié)果來看，客戶端向服務(wù)器采用明碼來發(fā)送用戶名和密碼，在認(rèn)證狀態(tài)下服務(wù)器等待客戶端連接時，客戶端發(fā)出連接請求，并把由命令構(gòu)成的user/pass用戶身份信息數(shù)

6、據(jù)明文發(fā)送給服務(wù)器。所以在抓包時可以看到未加密的密碼。（二） 郵件發(fā)送過程（SMTP協(xié)議）1. SMTP協(xié)議簡介SMTP（Simple Mail Transfer Protocol）即簡單郵局傳輸協(xié)議。用于電子郵件系統(tǒng)中發(fā)送郵件。它是一組用于由源地址到目的地址傳送郵件的規(guī)則，由它來控制信件的中轉(zhuǎn)方。 SMTP協(xié)議使用客戶端/服務(wù)器模型，發(fā)送郵件的進程是客戶端，接收郵件的進程是服務(wù)器3。SMTP協(xié)議基于TCP協(xié)議，它幫助每臺計算機在發(fā)送或中轉(zhuǎn)信件時找到下一個目的地。通過SMTP協(xié)議所指定的服務(wù)器,就可以把Email寄到收信人的服務(wù)器上了。SMTP服務(wù)器則是遵循SMTP協(xié)議的發(fā)送郵件服務(wù)器，用來發(fā)

7、送或中轉(zhuǎn)發(fā)出的電子郵件。SMTP的默認(rèn)端口是25.2. 實驗過程（1） 準(zhǔn)備階段軟件和客戶端已安裝配置完畢。（2） 打開Foxmail客戶端，點擊撰寫按鈕 填寫收件人賬號和主題，輸入郵件內(nèi)容（我填寫的賬號為1249677292，內(nèi)容為Merry Christmas?。?） 打開Wireshark軟件，選擇正在上網(wǎng)的網(wǎng)卡，開始抓包（4） 點擊Foxmail客戶端，對于已編寫好的郵件，點擊左上角的發(fā)送按鈕，郵件開始發(fā)送，發(fā)送成功以后，關(guān)閉界面， （5） Wireshark停止抓包，查找3. 分析過程（1） 過程描述和解釋SMTP協(xié)議在發(fā)送SMTP和接收SMTP之間的會話是靠發(fā)送SMTP的SMTP

8、命令和接收SMTP反饋的應(yīng)答來完成的。在通訊鏈路建立后，發(fā)送SMTP發(fā)送MAIL命令指令郵件發(fā)送者，若接收SMTP此時可以接收郵件則作出OK的應(yīng)答，然后發(fā)送SMTP繼續(xù)發(fā)出RCPT命令以確認(rèn)郵件是否收到，如果接收到就作出OK的應(yīng)答，否則就發(fā)出拒絕接收應(yīng)答，但這并不會對整個郵件操作造成影響。雙方如此反復(fù)多次，直至郵件處理完畢4。具體過程如下：n 因為SMTP協(xié)議是基于TCP的，所以先進行三次握手，客戶端與服務(wù)器建立TCP連接，服務(wù)器返回連接信息，表示是否連接成功n 客戶端向服務(wù)器發(fā)送命令“HELO”，并加上本機的主機名（123shi），服務(wù)器響應(yīng)并回復(fù)（250表示服務(wù)器可用）n 客戶端向服務(wù)器發(fā)

9、送用戶登錄命令“AUTH LOGIN”，服務(wù)器回復(fù)表示接受（“334”表示接受）n 客戶端分別向服務(wù)器發(fā)送編碼后的用戶名和密碼，服務(wù)器分別回復(fù)“334”“235”表示接受 因為SMTP要求用戶名和密碼都通過64位編碼后再發(fā)送，不接受明文的5n 客戶端分別先后向服務(wù)器發(fā)送“MAIL FROM”和“RCPT TO”命令，后面分別加上發(fā)件人的郵箱地址和收件人的郵箱地址，服務(wù)器分別回應(yīng)“250 Mail OK”表示成功接受n 接下來客戶端向服務(wù)器發(fā)送命令“DATA”，表示將要向服務(wù)器發(fā)送郵件正文，服務(wù)器回應(yīng)“354 End data with .”表示同意接收n 然后客戶端將郵件拆分為3個包發(fā)送給服務(wù)

10、器（大小分別是356bytes、1460bytes,244bytes），服務(wù)器回應(yīng)表示成功接收（250）n 郵件已成功發(fā)送到服務(wù)器，客戶端向服務(wù)器發(fā)送命令“QUIT”，釋放服務(wù)器連接，服務(wù)器返回“221”表示同意n 雙方釋放TCP連接，通信過程結(jié)束（2） 郵件信息分析剛開始打開拆分成的三個包，并沒有找到關(guān)于郵件內(nèi)容的什么信息，因為已經(jīng)被拆分成了三個包，因此找不到也是情有可原的了，但可以得到總的大小為2060。第一個包（包號39，大小356bytes）第二個包（包號40，大小1460bytes）第三個包（包號41，大小244bytes） 但在第43個包IMF包里找到了郵件完整的信息 由包內(nèi)的內(nèi)容

11、可以得到很多的信息： 郵件是通過由包39，40，41得來的，總大小為356+1460+244=2060 郵件的發(fā)送日期，發(fā)件人名稱和地址，收件人的名稱和地址 郵件主題（已編碼）、客戶端的信息、正文內(nèi)容等以行為單位的文本數(shù)據(jù)：HTML文本，即文件格式（顯然已加密）4. 過程總結(jié)通過這次實驗是我了解了很多，SMTP協(xié)議是基于TCP的協(xié)議，用于在網(wǎng)絡(luò)上發(fā)送電子郵件。通過客戶端與服務(wù)器的通信過程，每次向服務(wù)器發(fā)送不同的命令，得到服務(wù)器的回應(yīng)可知是否成功，直到把郵件發(fā)送到服務(wù)器上。而后服務(wù)器由一條已經(jīng)建立好的傳輸通道把郵件送到收件人所用的服務(wù)器上，收件人再根據(jù)POP協(xié)議從服務(wù)器上接收郵件，從而完成郵件的發(fā)送和接受過程。和POP3協(xié)議不同的是，SMTP協(xié)議中客戶端向服務(wù)器發(fā)送用戶名和密碼時不是明文發(fā)送的，需要經(jīng)過64位編碼后再發(fā)送，所以通過抓包是看不到的。而且文本內(nèi)容也是加密的。五、 實驗總結(jié)通過本次實驗，使得我對郵件的發(fā)送和接收過程有了一定的了解，鍛煉了我的工具使用和分析協(xié)議的能力，也加深了我對網(wǎng)絡(luò)協(xié)議的興趣，正如教員所說，分析協(xié)議是一件很好玩的事情，網(wǎng)絡(luò)協(xié)議看似很復(fù)雜，但相互之間還是有很多的聯(lián)系，認(rèn)真的研究真的會產(chǎn)生很多的樂趣。因為沒有系統(tǒng)的學(xué)習(xí)過網(wǎng)絡(luò)協(xié)議分析