网络协议分析实验报告1Email的发送和接收副本.docx
《网络协议分析实验报告1Email的发送和接收副本.docx》由会员分享,可在线阅读,更多相关《网络协议分析实验报告1Email的发送和接收副本.docx(10页珍藏版)》请在冰豆网上搜索。
网络协议分析实验报告1Email的发送和接收副本
网络协议分析实验之Email的发送和接收
--吴干A012012019
一、用Telnet客户端模拟Email的发送:
1、用Telnet客服端模拟邮件发送过程,其中命令的发送和应答都是遵循SMTP协议标准的。
我是基于本地邮箱服务器来实现邮件发送过程的,因此使用了RawCap软件对位于本地的127.0.0.1的25端口进行了数据的抓包。
(要先打开Windows系统的Telnet功能)
2、模拟发送过程:
先打开RawCap.exe程序,选择127.0.0.1端口对应的选项数字(我的实验中选择的是“2”),然后输入要存储的文件名(我的文件名为“sending.pcap”),然后按下Enter键,开始抓包。
接着打开cmd命令提示符,依次输入以下命令:
telnet127.0.0.125
helo127.0.0.1
EHLOahei-PC
authlogin
aGVpemk=
d3VnYW4=
MAILFROM:
RCPTTO:
data
From:
To:
Subject:
atestmail
Asimpletestmessage
...
.
在RawCap中按ctrl+c,将抓取的数据包保存下来,并退出RawCap程序。
打开wireshark软件,将“sending.pcap”拖拽进来,在Filter选项中输入smtp(因为我们的邮箱服务器是smtp标准的,所以要选择smtp类型),接着回车,会显示与smtp协议有关系的数据包,任意选择以数据包,鼠标右键选择“FollowtheTCPstream”,会出现刚才在cmd命令提示符中输入的命令和邮箱服务器的响应,显示出与邮件发送有关的内容,内容如下:
220ahei-PCWinmailMailServerESMTPready;Mon,13Apr201520:
03:
47+0800
helo127.0.0.1
250Hello[127.0.0.1]
EHLOahei-PC
250-Hello[127.0.0.1]
250-AUTHLOGINPLAIN
250-STARTTLS
250-SIZE20971520
2508BITMIME
authlogin
334VXNlcm5hbWU6
aGVpemk=
334UGFzc3dvcmQ6
d3VnYW4=
235goahead
MAILFROM:
250ok
RCPTTO:
250ok
data
354goahead,enddatawithCRLF.CRLF
From:
To:
Subject:
atestmail
Asimpletestmessage
...
.
250okmessageacceptedfordelivery
二、用Telnet客户端模拟Email接收过程:
1、用Telnet客服端模拟邮件接收过程,其中命令的发送和应答都是遵循POP3协议标准的。
我是基于本地邮箱服务器来实现邮件接收过程的,因此使用了RawCap软件对位于本地的127.0.0.1的110端口进行了数据的抓包。
2、再次打开RawCap.exe程序,选择127.0.0.1端口对应的选项数字(我的实验中选择的是“2”),然后输入要存储的文件名(我的文件名为“receive.pcap”),然后按下Enter键,开始抓包。
接着打开cmd命令提示符,依次输入以下命令:
telnet127.0.0.1110
USERheizi
PASSwugan
STAT
LIST
uidl
RETR9
dele1
rset
top11
noop
quit
接着重复上一个实验的过程,在RawCap中按ctrl+c,将抓取的数据包保存下来,并退出RawCap程序。
打开wireshark软件,将“receive.pcap”拖拽进来,在Filter选项中输入pop(因为要从服务器上取出邮件,所以要使用pop协议)
,接着回车,会显示与pop协议有关系的数据包,任意选择以数据包,鼠标右键选择“FollowtheTCPstream”,会出现刚才在cmd命令提示符中输入的命令和邮箱服务器的响应,显示出与邮件发送有关的内容,内容如下:
+OKahei-PCWinmailMailServerPOP3ready
USERheizi
+OK
PASSwugan
+OK13messages
STAT
+OK136117
LIST
+OK
1475
2468
3469
4468
5468
6468
7468
8469
9480
10468
11468
12475
13473
.
uidl
+OK
11428632218.7355.6668,S=370
21428632620.4837.6532,S=363
31428633549.6075.10196,S=363
41428634207.1257.6204,S=363
51428634695.7728.9440,S=363
61428634929.7470.6424,S=363
71428635699.3611.3168,S=363
81428642947.9217.11036,S=363
91428820617.5646.7236,S=375
101428925926.438.8452,S=363
111428926148.2373.7664,S=363
121428926461.5524.4688,S=370
131428926679.394.8408,S=368
.
RETR9
+OK
Return-Path:
Received:
(winmailprocessedbyuid7236);Sun,12Apr201514:
36:
57+0800
Delivered-To:
heizi@
X-WM-Delivered:
heizi@
Received:
fromahei-PC([127.0.0.1])
.(envelope-sender)
.by127.0.0.1withESMTP
.for;Sun,12Apr201514:
36:
56+0800
X-WM-AuthFlag:
YES
X-WM-AuthUser:
heizi@
From:
Fro,
From:
TO.o:
Subject:
atesta.maio.l
Asimpletestmessage
...
.
dele1
+OK
rset
+OK
top11
+OK
Return-Path:
Received:
(winmailprocessedbyuid6668);Fri,10Apr201510:
16:
58+0800
Delivered-To:
heizi@
X-WM-Delivered:
heizi@
Received:
fromahei-PC([127.0.0.1])
.(envelope-sender)
.by127.0.0.1withESMTP
.for;Fri,10Apr201510:
16:
54+0800
X-WM-AuthFlag:
YES
X-WM-AuthUser:
heizi@
FROM:
t.
To:
s.Subject:
atestmaiil.
Asimpletestmessage
.
noop
+OK
quit
+OK
三、用浏览器和Outlook客户端发送邮件
(一)用浏览器发送邮件
1、基本信息
浏览器类型:
Firefox37.0.1
操作系统:
Windows7专业版ServicePack1
发送者邮箱:
QQ邮箱网页版
接收者邮箱:
163邮箱网页版
2、操作过程
打开Wireshark,开始抓包->打开Firefox浏览器,登陆QQ邮箱网页版->往hn15872429727@邮箱中发送一封邮件,主题为:
test5内容为:
Thisisa5thtest.->在Wireshark中停止抓包->在Filter选项中输入“TCP”->在包列表窗口选择一个tcp协议的数据包,右键选择“FollowtheTCPstream”->出现与发送邮件有关的内容
3、数据分析
POST/cgi-bin/laddr_domain_check?
sid=NAsz1DGsBCkaH1EEHTTP/1.1
Host:
User-Agent:
Mozilla/5.0(WindowsNT6.1;WOW64;rv:
37.0)Gecko/20100101Firefox/37.0
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:
zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding:
gzip,deflate
DNT:
1
Content-Type:
application/x-www-form-urlencoded;charset=UTF-8
Referer:
Content-Length:
76
Cookie:
ptui_loginuin=1311630655;pt2gguin=o1311630655;ptcz=11e5702980c01220a65d58cada565af35606ba2126173163eeeb0f6ea8534c1b;pgv_pvid=1061809320;o_cookie=1311630655;CCSHOW=000001;edition=;webp=0;pgv_info=ssid=s5738038400;pt_clientip=947b7f000001c3c8;pt_serverip=f5e00aab3d47f9a5;ptisp=ctc;uin=o1311630655;skey=@xI7sjBuXI;p_uin=o1311630655;p_skey=4Nh9HtY37GSQnusRDqtg6YIgEkGlNftsPPms5Pxn7wU_;pt4_token=tTWxvWbP1Q6wn8t1at*f4A__;wimrefreshrun=0&;qm_antisky=1311630655&293adefde880045efab09408acb58402e83c80ed8f10086e3d9f21686c8b0be5;qm_flag=0;qqmail_alias=1311630655@;sid=1311630655&e52ab14a37e82c9ac29ba1b93da2025f,qNE5oOUh0WTM3R1NRbnVzUkRxdGc2WUlnRWtHbE5mdHNQUG1zNVB4bjd3VV8.;qm_username=1311630655;new_mail_num=1311630655&46;qm_sid=e52ab14a37e82c9ac29ba1b93da2025f,qNE5oOUh0WTM3R1NRbnVzUkRxdGc2WUlnRWtHbE5mdHNQUG1zNVB4bjd3VV8.;qm_domain=;qm_ptsk=1311630655&@xI7sjBuXI;foxacc=1311630655&0;ssl_edition=;username=1311630655&1311630655
Connection:
keep-alive
Pragma:
no-cache
Cache-Control:
no-cache
acttype=4&sid=NAsz1DGsBCkaH1EE&uin=1311630655&addrfilt=hn15872429727@HTTP/1.1200OK
Server:
TWS
Connection:
Keep-Alive
Keep-Alive:
timeout=15
Date:
Sun,19Apr201512:
20:
34GMT
Content-Type:
text/html;charset=GB18030
Transfer-Encoding:
chunked
3e
({invalidlocalaccount:
[null],addrhistory:
[""],success:
true})
0
POST/cgi-bin/laddr_domain_check?
sid=NAsz1DGsBCkaH1EEHTTP/1.1
Host:
User-Agent:
Mozilla/5.0(WindowsNT6.1;WOW64;rv:
37.0)Gecko/20100101Firefox/37.0
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:
zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding:
gzip,deflate
DNT:
1
Content-Type:
application/x-www-form-urlencoded;charset=UTF-8
Referer:
Content-Length:
108
Cookie:
ptui_loginuin=1311630655;pt2gguin=o1311630655;ptcz=11e5702980c01220a65d58cada565af35606ba2126173163eeeb0f6ea8534c1b;pgv_pvid=1061809320;o_cookie=1311630655;CCSHOW=000001;edition=;webp=0;pgv_info=ssid=s5*******00;pt_clientip=947b7f000001c3c8;pt_serverip=f5e00aab3d47f9a5;ptisp=ctc;uin=o1311630655;skey=@xI7sjBuXI;p_uin=o1311630655;p_skey=4Nh9HtY37GSQnusRDqtg6YIgEkGlNftsPPms5Pxn7wU_;pt4_token=tTWxvWbP1Q6wn8t1at*f4A__;wimrefreshrun=0&;qm_antisky=1311630655&293adefde880045efab09408acb58402e83c80ed8f10086e3d9f21686c8b0be5;qm_flag=0;qqmail_alias=1311630655@;sid=1311630655&e52ab14a37e82c9ac29ba1b93da2025f,qNE5oOUh0WTM3R1NRbnVzUkRxdGc2WUlnRWtHbE5mdHNQUG1zNVB4bjd3VV8.;qm_username=1311630655;new_mail_num=1311630655&46;qm_sid=e52ab14a37e82c9ac29ba1b93da2025f,qNE5oOUh0WTM3R1NRbnVzUkRxdGc2WUlnRWtHbE5mdHNQUG1zNVB4bjd3VV8.;qm_domain=;qm_ptsk=1311630655&@xI7sjBuXI;foxacc=1311630655&0;ssl_edition=;username=1311630655&1311630655
Connection:
keep-alive
Pragma:
no-cache
Cache-Control:
no-cache
sid=NAsz1DGsBCkaH1EE&addrs=a@&addrlist=&acttype=3&t=laddr_domain_check&addrfilt=hn15872429727@HTTP/1.1200OK
Server:
TWS
Connection:
Keep-Alive
Keep-Alive:
timeout=15
Date:
Sun,19Apr201512:
20:
34GMT
Content-Type:
text/html;charset=GB18030
Transfer-Encoding:
chunked
6d
({checkdomain:
[null],domainlimit:
[["","73400320","0"],null],invalidlocalaccount:
[null],success:
true})
0
我的分析:
可以从上面截取的内容中发现很多信息,如发送者的qq账户,qq邮箱中的邮件份数(关键字“new_mail_num”后面“&”的数字就是),接收者的邮箱类型。
但是qq的密码似乎进行了某种编码,似乎是关键字“p_skey”后面的内容“4Nh9HtY37GSQnusRDqtg6YIgEkGlNftsPPms5Pxn7wU_”,也有可能是关键字“skey”后面的内容“@xI7sjBuXI”,这个我还不理解。
(二)用Outlook客户端发送邮件
1、操作过程
大致同上,只是要打开Outlook客户端,往hn15872429727@中发一封邮件。
2.数据分析(只显示出一部分)
...........U3.>S....m....p.>..4.f.8....is.....4..K.....S1.(A..q......1d......./.5...
.......
.2.8.......*.
..................Q...M......y.r.....i.!
ZT..T...gT.......3..$..a5...'...Ql......t..$...}../.......................0...0..........w5.b..t+.Vh.;.!
L0..*.H.......0D1.0...U....US1.0...U.
.GeoTrustInc.1.0...U....GeoTrustSSLCA-G20..141101000000Z.171230235959Z0..1.0...U....CN1.0...U....Zhejiang1.0...U....Hangzhou1,0*..U.
.#NetEase(Hangzhou)NetworkCo.,Ltd1.0...U...
MAILDept.1.0...U....*0.."0..*.H..
我的问题:
不明白为什么用Outlook客户端发的邮件,截取后的数据是这个样子,我只能从中了解到一点信息,如我是往163邮箱发送的邮件,还看到了学校校园网客户端(INode客户端的制作公司)的一些信息,如:
(Hangzhou)NetworkCo.
难道说是字符编码的原因,导致了接收到了这么多的乱码?
?
不太懂……
四、实验总结
经过这次实验,我大致了解了smtp协议发送Email和POP3协议接收Email的过程,同时也对wireshar软件的使用方法有了进一步的了解(这个软件的功能实在是强大)。
与此同时我也看到了网络安全的脆弱性,比如像使用Telnet客户端时,发送的都是明文,这是非常不安全的,虽然它会比较方便。
又如在网页上发送Email也存在着个人信息会被截取的危险,如个人和联系人的账户信息,可能会被破解的用户密码。
总而言之,这次实验使我对网络信息分析有了一定的了解,这是一项单调但要很有意思的工作!
升级会员 