Wireshark抓包分析POP3和SMTP協(xié)議

本文格式為Word版，下載可任意編輯——Wireshark抓包分析POP3和SMTP協(xié)議Wireshark抓包分析POP3和SMTP協(xié)議

一、試驗?zāi)康?/p>

1.初步把握Wireshark的使用方法，熟悉抓包流程；2.通過對Wireshark抓包實例進行分析，加強對POP3協(xié)議和SMTP協(xié)議的理解；

3.培養(yǎng)動手實踐能力和自主學習自主探究的精神。二、試驗要求

利用Wireshark軟件抓包，得到郵箱登錄的信息和發(fā)送郵件的信息，并根據(jù)所抓包對POP3協(xié)議和SMTP協(xié)議進行分析。三、試驗環(huán)境

1.系統(tǒng)環(huán)境：Windows8專業(yè)版2.郵件接收：Foxmail6正式版3.Wireshark：V1.4.9四、試驗過程

（一）郵箱登錄及郵件接收過程（POP3協(xié)議）1.POP3協(xié)議簡介[1]

POP3(PostOfficeProtocol3)即郵局協(xié)議的第3個版本，它是規(guī)定個人計算機如何連接到互聯(lián)網(wǎng)上的郵箱服務(wù)器進行收發(fā)郵件的協(xié)議。它是因特網(wǎng)電子郵件的第一個離線協(xié)議標準，POP3協(xié)議允許用戶從服務(wù)器上把郵件存儲到本機主機上，同時根據(jù)客戶端的操作刪除或保存在郵箱服務(wù)器上的郵件。而POP3服務(wù)器則是遵循POP3協(xié)議的接收郵件服務(wù)器，用來接收電子郵

件的。POP3協(xié)議是TCP/IP協(xié)議族中的一員，由RFC1939定義。本協(xié)議主要用于支持使用客戶端遠程管理在服務(wù)器上的電子郵件。2.試驗過程（1）準備工作

?申請一個126郵箱

?安裝并配置Foxmail，將接收和發(fā)送郵件的服務(wù)器分別設(shè)置為POP3服務(wù)器和SMTP服務(wù)器

?在安裝好的Foxmail上添加申請到的126郵箱賬戶

添加后的郵箱信息

（2）開啟Wireshark軟件，選擇正在聯(lián)網(wǎng)的網(wǎng)卡，開始抓包。

（3）開啟Foxmail，選擇郵箱賬號登錄，點擊左上角收取，郵

箱開始連接服務(wù)器。

（4）關(guān)閉Foxmail，Wireshark中止抓包，找到包的位置，可

以發(fā)現(xiàn)賬號和密碼都被找出來了。

3.分析過程

通過查找資料可知，主機向POP3服務(wù)器發(fā)送的命令采用命

令行形式，用ASCII碼表示。服務(wù)器響應(yīng)是由一個單獨的命令行組成或多個命令行組成，響應(yīng)第一行以ASCII文本+OK或-ERR(OK指成功，-ERR指失?。┲赋鱿鄳?yīng)的操作狀態(tài)是成功還是失敗。由上述報文可以分析出如下過程：

?由于POP3協(xié)議默認的傳輸協(xié)議時TCP協(xié)議[2]，因此連接服務(wù)器要先進行三次握手

?主機需要提供賬號和密碼，并等待服務(wù)器確認

?認證成功以后，開始進入處理階段

?主機向服務(wù)器發(fā)送命令碼STAT，服務(wù)器向主機發(fā)回郵箱的統(tǒng)計資料，包括郵件總數(shù)和總字節(jié)數(shù)（3個郵件，共17393個字節(jié)）

?主機向服務(wù)器發(fā)送命令碼UIDL，服務(wù)器返回每個郵件的唯

一標識符

三個郵件的標識符

?主機向服務(wù)器發(fā)送命令碼LIST，服務(wù)器返回郵件數(shù)量和每個郵件的大小

三個郵件的大小分別是14417字節(jié)、882字節(jié)、2096字節(jié)

?主機向服務(wù)器發(fā)送命令碼QUIT，終止會話。

?進一步分析可得到如下信息（以主機向服務(wù)器發(fā)送密碼為例）?本機的端口號為65500服務(wù)器端口號為110

?本機和服務(wù)器MAC地址

?POP協(xié)議是基于TCP/IP的協(xié)議

4.過程總結(jié)

由上述試驗結(jié)果和試驗分析可知，賬戶的登錄過程為：當郵件發(fā)送到服務(wù)器后，賬戶登錄時，電子郵件客戶端會調(diào)用郵件客戶端程序連接服務(wù)器，連接時先進行身份驗證（賬號和密碼），驗證成功以后通過向服務(wù)器發(fā)送一些命令碼，從而獲得所有未讀的電子郵件信息到主機，完成登錄過程和新郵件信息的獲取。

從抓包結(jié)果來看，客戶端向服務(wù)器采用明碼來發(fā)送用戶名和密碼，在認證狀態(tài)下服務(wù)器等待客戶端連接時，客戶端發(fā)出連接請求，并把由命令構(gòu)成的user/pass用戶身份信息數(shù)據(jù)明文發(fā)送給服務(wù)器。所以在抓包時可以看到未加密的密碼。（二）郵件發(fā)送過程（SMTP協(xié)議）1.SMTP協(xié)議簡介

SMTP（SimpleMailTransferProtocol）即簡單郵局傳輸協(xié)議。用于電子郵件系統(tǒng)中發(fā)送郵件。它是一組用于由源地址到目的地址傳送郵件的規(guī)則，由它來控制信件的中轉(zhuǎn)方。

SMTP協(xié)議使用客戶端/服務(wù)器模型，發(fā)送郵件的進程是客戶端，接收郵件的進程是服務(wù)器[3]。SMTP協(xié)議基于TCP協(xié)議，它幫助每臺計算機在發(fā)送或中轉(zhuǎn)信件時找到下一個目的地。通過SMTP協(xié)議所指定的服務(wù)器,就可以把E－mail寄到收信人的服務(wù)器上了。SMTP服務(wù)器則是遵循SMTP協(xié)議的發(fā)送郵件服務(wù)器，用來發(fā)送或中轉(zhuǎn)發(fā)出的電子郵件。

SMTP的默認端口是25.2.試驗過程（1）準備階段

軟件和客戶端已安裝配置完畢。（2）開啟Foxmail客戶端，點擊撰寫按鈕

填寫收件人賬號和主題，輸入郵件內(nèi)容（我填寫的賬號為1249677292@.com，內(nèi)容為MerryChristmas?。。。?/p>

（3）開啟Wireshark軟件，選擇正在上網(wǎng)的網(wǎng)卡，開始抓包

（4）點擊Foxmail客戶端，對于已編寫好的郵件，點擊左上角

的發(fā)送按鈕，郵件開始發(fā)送，發(fā)送成功以后，關(guān)閉界面，

（5）Wireshark中止抓包，查找

3.分析過程

（1）過程描述和解釋

SMTP協(xié)議在發(fā)送SMTP和接收SMTP之間的會話是靠發(fā)送SMTP的SMTP命令和接收SMTP反饋的應(yīng)答來完成的。在通訊鏈路建立后，發(fā)送SMTP發(fā)送MAIL命令指令郵件發(fā)送者，若接收SMTP此時可以接收郵件則作出OK的應(yīng)答，然后發(fā)送SMTP繼續(xù)發(fā)出RCPT命令以確認郵件是否收到，假使接收到就作出OK的應(yīng)答，否則就發(fā)出拒絕接收應(yīng)答，但這并不會對整個郵件操作造成影響。雙方如此反復(fù)屢屢，直至郵件處理完畢[4]。具體過程如下：

?由于SMTP協(xié)議是基于TCP的，所以先進行三次握手，客戶端與服務(wù)器建立TCP連接，服務(wù)器返回連接信息，表示是否連接成功

?客戶端向服務(wù)器發(fā)送命令“HELO〞，并加上本機的主機名（123shi），服務(wù)器響應(yīng)并回復(fù)（250表示服務(wù)器可用）

?客戶端向服務(wù)器發(fā)送用戶登錄命令“AUTHLOGIN〞，服務(wù)器回復(fù)表示接受（“334〞表示接受）

?客戶端分別向服務(wù)器發(fā)送編碼后的用戶名和密碼，服務(wù)器分別回復(fù)“334〞“235〞表示接受

由于SMTP要求用戶名和密碼都通過64位編碼后再發(fā)送，

不接受明文的[5]

?客戶端分別先后向服務(wù)器發(fā)送“MAILFROM〞和“RCPTTO〞命令，后面分別加上發(fā)件人的郵箱地址和收件人的郵箱地址，服務(wù)器分別回應(yīng)“250MailOK〞表示成功接受

?接下來客戶端向服務(wù)器發(fā)送命令“DATA〞，表示將要向服務(wù)器發(fā)送郵件正文，服務(wù)器回應(yīng)“354Enddatawith.〞表示同意接收

?然后客戶端將郵件拆分為3個包發(fā)送給服務(wù)器（大小分

別是356bytes、1460bytes,244bytes），服務(wù)器回應(yīng)表示成功接收（250）

?郵件已成功發(fā)送到服務(wù)器，客戶端向服務(wù)器發(fā)送命令“QUIT〞，釋放服務(wù)器連接，服務(wù)器返回“221〞表示同意

?雙方釋放TCP連接，通信過程終止（2）郵件信息分析

剛開始開啟拆分成的三個包，并沒有找到關(guān)于郵件內(nèi)容的什么信息，由于已經(jīng)被拆分成了三個包，因此找不到也是情有可原的了，但可以得到總的大小為2060。

第一個包（包號39，大小356bytes）

其次個包（包號40，大小1460bytes）

第三個包（包號41，大小244bytes）

但在第43個包IMF包里找到了郵件完整的信息

由包內(nèi)的內(nèi)容可以得到好多的信息：

?郵件是通過由包39，40，41得來的，總大小為356+1460+244=2060

?郵件的發(fā)送日期，發(fā)件人名稱和地址，收件人的名稱和地址

?郵件主題（已編碼）、客戶端的信息、正文內(nèi)容等

以行為單位的文本數(shù)據(jù)：HTML文本，即文件格式（顯然已加密）

4.過程總結(jié)

通過這次試驗是我了解了好多，SMTP協(xié)議是基于TCP的協(xié)議，用于在網(wǎng)絡(luò)上發(fā)送電子郵件。通過客戶端與服務(wù)器的通信過程，每次向服務(wù)器發(fā)送不同的命令，得到服務(wù)器的回應(yīng)可知是否成功，直到把郵件發(fā)送到服務(wù)器上。而后服務(wù)器由一條已經(jīng)建立好的傳輸通道把郵件送到收件人所用的服務(wù)器上，收件人再根據(jù)POP協(xié)議從服務(wù)器上接收郵件，從而完成郵件的發(fā)送和接受過程。

和POP3協(xié)議不同的是，SMTP協(xié)議中客戶端向服務(wù)器發(fā)送用戶名和密碼時不是明文發(fā)送的，需要經(jīng)過64位編碼后再發(fā)

送，所以通過抓包是看不到的。而且文本內(nèi)容也是加密的。五、試驗總結(jié)

通過本次試驗，使得我對郵件的發(fā)送和接收過程有了一定的