演示：理解HTTP協(xié)議

第4章詳解并取證網(wǎng)絡(luò)協(xié)議的工作原理任務(wù)4.4在本節(jié)將描述OSI模型中應(yīng)用層的相關(guān)協(xié)議，處于該層的協(xié)議有很多，比如HTTP、FTP、POP3、SMTP等，由于篇幅有限，不可能將應(yīng)用層的全部協(xié)議完全描述，所以在這里將重點描述幾種常見的應(yīng)用層協(xié)議，在這些協(xié)議中又將以HTTP和FTP作為重點描述。事實上，CCNA（200-120）考試很少對HTTP或者FTP作深入考查，但是在CCNP、CCIE的一些高級應(yīng)用中，特別是NARB（基于應(yīng)用層的識別）或者防火過濾，可能需要很成功地理解HTTP和FTP的工作原理后，才能靈活應(yīng)用，這些基礎(chǔ)應(yīng)該在CCNA（200-120）中完成。所以大家千萬不要忽略這一點，關(guān)于這些基礎(chǔ)對應(yīng)后期深入學(xué)習(xí)的哪些知識點，將會給大家列舉出來。任務(wù).1理解HTTP協(xié)議當(dāng)用戶利用IE瀏覽器訪問某個網(wǎng)站的主頁時，就使用了HTTP（HyperTextTransferProtocol，超文本傳輸協(xié)議）。HTTP是一個基于客戶端與服務(wù)器端請求和應(yīng)答的標準（TCP）協(xié)議，客戶端是終端用戶，服務(wù)器端是網(wǎng)站。通過使用Web瀏覽器，如InternetExplorer，客戶端發(fā)起一個到服務(wù)器上指定端口（默認為80號端口）的HTTP請求，應(yīng)答的服務(wù)器上存儲著一些資源，包括HTML文件和圖像，現(xiàn)在很多的網(wǎng)絡(luò)應(yīng)用都使用HTTP協(xié)議，它已經(jīng)不是單純的超文本傳輸協(xié)議了。注意：在如今的Internet應(yīng)用中，通常已經(jīng)不將HTTP理解為一種單純的協(xié)議，而是把它當(dāng)作一種數(shù)據(jù)的封裝方式，使用它可以封裝和傳遞任意文件。任務(wù)4.4.1可能對于一般的Internet使用者而言，沒有必要對HTTP作深入的研究與分析。但對于一個網(wǎng)絡(luò)管理者或者網(wǎng)絡(luò)的專業(yè)人員而言，就必須深入理解HTTP的工作過程與協(xié)議結(jié)構(gòu)。這關(guān)系著在管理過程中的一系列應(yīng)用與安全措施，比如企業(yè)用戶在打開頁面時需要過濾掉某些圖片文件、不允許下載MP3等，而這一系列動作都要求網(wǎng)絡(luò)管理員對HTTP本身的結(jié)構(gòu)非常熟悉。所以，本小節(jié)從HTTP的工作原理出發(fā)，深入分析HTTP的數(shù)據(jù)幀，以方便大家對HTTP的深入認識，提高基于HTTP的管理效率。HTTP有1.0和1.1兩個版本。比如：微軟的InternetExplorer一般使用1.1版本，但是在很多時候與代理服務(wù)器結(jié)合使用時，一般用的是1.0版本，因為代理服務(wù)器可能不知道一下節(jié)點是使用HTTP1.0還是1.1版本。HTTP的工作原理示意圖如圖4.60所示。任務(wù)4.4.1圖4.60HTTP的工作原理示意圖關(guān)于HTTP的無狀態(tài)連接HTTP1.0版本是無狀態(tài)連接，而1.1版本支持狀態(tài)連接。所謂無狀態(tài)連接，就是指在HTTP1.0版本中，一個HTTP請求與一個HTTP回應(yīng)就稱為一個完整的HTTP連接，基于這個連接的數(shù)據(jù)一旦發(fā)送完成后，這個連接就斷開了，同時也會斷開TCP三次握手過程，如果要重新連接，則需要重新進行TCP三次握手，所以說HTTP1.0本身是一個無狀態(tài)連接的協(xié)議，這種無狀態(tài)連接方式?jīng)]有效率。HTTP1.1版本增加了Keepalive消息，使其具有狀態(tài)連接的特性。Keepalive的特性是提高HTTP連接的利用率，它不會切斷TCP三次握手，可以開始新的連接。因為在很多情況下，一個網(wǎng)頁都有多個HTTP連接。任務(wù)4.4.1關(guān)于HTTP請求報文與應(yīng)答報文的結(jié)構(gòu)HTTP請求報文的結(jié)構(gòu)如圖4.61所示。關(guān)于實時通信中HTTP請求報文的數(shù)據(jù)幀如圖4.62所示，可將理論上的報文結(jié)構(gòu)與真實的數(shù)據(jù)幀進行對照理解。HTTP版本號HTTP方法URL請求頭實體頭圖4.61HTTP請求報文的結(jié)構(gòu)任務(wù)4.4.1HTTP版本號：聲明HTTP的版本號為1.1或1.0。通常微軟的使用1.1，其他代理服務(wù)器使用1.0。HTTP方法：最常用的有GET、HEAD和POST。GET請求Web頁面的信息；HEAD申請Web頁面的信息，不返回信息體。如果是請求表單、新聞組、BBS、郵件組群和數(shù)據(jù)庫“字段索引”，就用POST代替GET，表示請求的是一個較大的數(shù)據(jù)。URL：被請求頁面的網(wǎng)址，如/index。事實上它是由協(xié)議名稱+宿主名+目錄與文件名所組成的，在一些安全加固的要求下，將采取正規(guī)化的表達方式，比如在URL中不允許使用root.exe這樣的文件，因為它可能是某種病毒。請求頭：被請求的文件類型，如*/*（所有文件類型）。實體頭：包含被請求實體的原信息。圖4.62HTTP請求報文的數(shù)據(jù)幀任務(wù)4.4.1HTTP響應(yīng)報文的結(jié)構(gòu)如圖4.63所示。關(guān)于實時通信中HTTP響應(yīng)報文的數(shù)據(jù)幀如圖4.64所示，可將理論上的報文結(jié)構(gòu)與真實的數(shù)據(jù)幀進行對照理解。HTTP版本號狀態(tài)碼響應(yīng)頭實體頭內(nèi)容圖4.63HTTP回應(yīng)報文的結(jié)構(gòu)HTTP版本號：聲明HTTP版本號為1.1或1.0。狀態(tài)碼：幫助用戶理解HTTP工作狀態(tài)，常見的狀態(tài)碼如表4.1所示。響應(yīng)頭：包括Web服務(wù)器回應(yīng)給客戶機的HTTP的內(nèi)容是否被加密認證、是否被公開、WWW的認證消息、主頁的位置（Content-Location）等。實體頭：包括HTTP響應(yīng)的編碼形式、語言、內(nèi)容長度，以及內(nèi)容的文件類型、最后一次修改時間。任務(wù)4.4.1表4.1HTTP工作狀態(tài)碼狀態(tài)碼意義1XX信息提示2XX成功3XX重定向4XX客戶端錯誤5XX服務(wù)器錯誤圖4.64HTTP響應(yīng)報文的數(shù)據(jù)幀任務(wù)4.4.1注意：如果你計劃在完成CCNA以后，打算更進一步地向CCNP或者CCIE邁進，或者為了在取得認證后能夠更好地應(yīng)對實踐工作需求，那么請掌握下面的內(nèi)容，這樣做至少可以有三點收獲：一、前面關(guān)于ARP、IP、ICMP、TCP、UDP的描述都是為了打下堅實的網(wǎng)絡(luò)基礎(chǔ)，屬于CCNA必考內(nèi)容，而應(yīng)用層的HTTP協(xié)議具備實戰(zhàn)意義，完成下面的整個閱讀后你會明白為什么要理解HTTP協(xié)議；二、當(dāng)你走到準備CCIE實驗室考試時，使用NBRA來識別HTTP的不同數(shù)據(jù)類型時，一定會發(fā)現(xiàn)下面的描述非常有必要；三、當(dāng)你被上司要求控制網(wǎng)絡(luò)上一些基于HTTP封裝的特殊數(shù)據(jù)，比如MP3、PDF文件、視頻文件、應(yīng)用程序時你會知道該怎么做。筆者本人一直持有一個觀念：“會配置路由器和配好路由器是兩個概念，要學(xué)會配置路由器看配置說明就能完成，要配好路由器必須得具備良好的網(wǎng)絡(luò)認知能力，比如成功地掌握各種協(xié)議的運作過程就是這種認知能力的表現(xiàn)”。中國有句話：寶刀在手，卻無刀訣，使之何用。任務(wù)4.4.1關(guān)于HTTP的數(shù)據(jù)封裝與內(nèi)容管理當(dāng)資源被封裝到HTTP報文中時，管這樣的封裝叫實體。早期的HTTP只能傳送文本，一種簡單的ASCII碼的文本，但這已經(jīng)是非常遙遠的故事了，因為隨著Internet的全面發(fā)展，許多用戶都想借助于Web更多的資源傳遞，這些資源包括：表格、圖片、影音等，那么HTTP已經(jīng)不再是單純地為傳遞文本文件服務(wù)，而是為廣泛的多媒體資源服務(wù)。成為一種多媒體資源的封裝方式與內(nèi)容管理方式，這樣做必定會增加HTTP協(xié)議的復(fù)雜性。在這里需要知道，HTTP協(xié)議使用語法去聲明各種多媒體類型，它與MIME使用相同的語法來聲明封裝的各種多媒體文件。關(guān)于什么是MIME，在后繼的段落中有相關(guān)描述。HTTP中使用content-type實體首部字段內(nèi)容類型來聲明并封裝任何HTTP報文，它的語法格式是：content-type:<類型〉/<子類型>。HTTP使用媒體類型的另一個地方是發(fā)送HTTP請求消息中的accept字段，它的目的是客戶機告訴服務(wù)器它可以處理什么類型的多媒體信息，以避免服務(wù)器向HTTP客戶端發(fā)送無法處理的媒體類型，比如：accept=text/plain指示文本媒體主類型下面的純文本子類型。事實上，它還可以使用星號（*）來作通配符，比如：accept=*/*指示可以處理任何類型的媒體文件。任務(wù)4.4.1注意：再次強調(diào)，HTTP聲明封裝媒體文件類型的方式是從MIME借鑒而來的，所以需要進一步了解什么是MIME，以及它產(chǎn)生的作用與相關(guān)語法。任務(wù)4.4.1關(guān)于MIME（MultipurposeInternetMailExtentions）的內(nèi)容類型MIME是一種多用途的郵件擴展，它最初在電子郵件中使用，允許電子郵件攜帶多媒體信息以及任意文件，事實上大家使用電子郵件的“附件”功能時就是在體會MIME。后來MIME被擴展到HTTP的應(yīng)用中，是定義HTTP內(nèi)容格式的一種通用方法。MIME在思科的后期學(xué)習(xí)中，以及實踐的工作環(huán)境中常被用到，特別是安全領(lǐng)域，所以在這里將對它作簡單的描述。在早期的電子郵件中只能使用簡單的ASCII文本(關(guān)于這一點RFC822描述了相關(guān)標準)，在當(dāng)時的Internet環(huán)境中可能已經(jīng)足夠，但是隨著多媒體應(yīng)用的擴展、任意的二進制文件、非ASCII字符集的產(chǎn)生，傳統(tǒng)的電子郵件功能已經(jīng)不能滿足需求，可是標準一旦形成并加以推廣，事實上就很難再廢除和改變，所以只能使用MIME去擴展電子郵件的靈活性。MIME使用特殊的技術(shù)將各種多媒體信息編碼成ASCII文體格式，其中包括圖片、影音、應(yīng)用程序等。因為MIME支持多媒體，所以每個報文必須描述它包括什么內(nèi)容的信息，以便于對報文的內(nèi)容進行解碼。首先來簡單描述MIME關(guān)于內(nèi)容類型首部的語法：內(nèi)容類型:<類型>/<子類型>。在RFC2046中定義了最常見的5種多媒體類型，分別是：Text（文體媒體類型）、image（圖像媒體）、audio（音頻媒體）、video（視頻媒體）、model（模型媒體）、application（應(yīng)用程序媒體），然后又將這5種媒體類型細分為多種文件類型。任務(wù)4.4.1關(guān)于MIME的類型與子類型舉例如下：內(nèi)容類型:Text/plain，指示文本媒體主類型下面的純文本子類型。內(nèi)容類型:image/jpeg，指示圖像媒體主類型下面的JPEG文件子類型。內(nèi)容類型:audio/mpeg，指示音頻媒體主類型下面的MPEG文件子類型。注意：在這里，大家只需要知道MIME使用語法去聲明相關(guān)的內(nèi)容類型即可，不需要關(guān)心如何去編碼這些內(nèi)容，至少在思科的認證考試中不需要你去關(guān)心！任務(wù)4.4.1HTTP與MIME相關(guān)描述的意義在哪里本書中所論述的任何理論，在思科認證或者工作實踐中都有意義，可能這些所謂的意義在CCNA或者學(xué)習(xí)過程中暫時沒有被發(fā)現(xiàn)，比如使用思科的路由器完成對如下HTTP流量內(nèi)容的識別和控制：識別并過濾以HTML表示的文本。識別并過濾AutoCAD軟件所使用的矢量圖形。識別并過濾MPEG標準的音頻。識別并過濾QuickTime電影格式的視頻。識別并過濾PDF程序。識別并過濾微軟公司的PPT程序文件。任務(wù)4.4.1注意：要過濾與識別上述的文件類型，通常在思科的設(shè)備上使用本書第10章中所描述的ACL根本無法做到，因為文件類型都沒有使用明確的端口號，它只是一種文件類型，而且都能通過HTTP封裝與運載，如果你直接通過過濾HTTP來達到識別與過濾文件類型的目的，那么，上述文件能被識別和過濾，但是上述文件以外的HTTP流量也會被過濾，估計這不是管理員想要的結(jié)果，所以只有使用如下的配置去識別文件類型。關(guān)于NBAR具體的配置，不是CCNA所描述的范圍，但是理解應(yīng)用層協(xié)議一定是CCNA必須掌握的，這會為你后期的學(xué)習(xí)打下堅實的基礎(chǔ)。R1(config-cmap)#matchprotocolhttpmimetext/htmlR1(config-cmap)#matchprotocolhttpmimeimage/vnd.dwgR1(config-cmap)#matchprotocolhttpmimeaudio/mpegR1(config-cmap)#matchprotocolhttpmimevideo/quicktimeR1(config-cmap)#matchprotocolhttpmimeapplication/pdfR1(config-cmap)#matchprotocolhttpmimeapplication/vnd.ms-pow