网络协议：HTTP协议工作原理，报文格式解析，Wireshark抓包分析HTTP协议工作流程

「作者主页」：士别三日wyx
「作者简介」：CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」：对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

HTTP（Hypertext Transfer Protocol）是 「超文本传输协议」，基于B/S架构（Browser/Server，浏览器/服务器模式）通信，用户通过浏览器访问Web服务器产生的网页（文本、图片、视频、音乐等），与服务器进行数据交互。

1、HTTP协议工作原理

HTTP协议是基于TCP实现的请求响应-响应协议，工作分为四个过程：

1. 三次握手「建立TCP连接」
2. 客户端发送「请求」
3. 服务端发送「响应」
4. 四次挥手「关闭TCP连接」

工作过程从HTTP的数据包中可以很好地体现出来

协议本质上就是一个约定俗称的规范，而HTTP协议就规定了浏览器需要如何从服务器请求Web页面、服务器需要如何把Web页面传送给客户端。

• 浏览器向服务器请求Web页面需要使用「HTTP请求报文」
• 服务器吧Web页面传送给客户端需要使用「HTTP响应报文」

2、HTTP协议报文

• 请求报文分为三个部分：请求行、请求头、请求体
• 响应报文分为四个部分：状态行、响应头、响应空行、响应体

HTTP请求报文的数据包如下

• 请求行：【固定格式】包含请求方法、请求URL、HTTP版本
• 请求头：包含请求的客户端的信息，一行一个请求头
• 请求体：请求的数据部分

HTTP响应报文的数据包如下

• 状态行：【固定格式】包含版本和响应状态码、状态信息
• 响应头：包含响应的服务器的资源信息，一行一个响应头
• 响应空行：用来间隔/区分响应头和响应体
• 响应体：服务器响应的内容，通常是一个HTML页面的代码或者给客户端的数据。

3、HTTP请求方法

HTTP请求报文的 Request Method表示请求方法（面试常问），不同的方法可以实现不同的获取数据的操作

• GET：获取数据
• POST：传递数据，常用于表单提交或上传文件
• PUT：获取文件资源
• HEAD：获取报文首部
• DELETE：删除文件
• OPTIONS：询问支持的方法（HTTP服务器并不是所有方法都必须实现，但起码要实现GET、HEAD方法）
• TRACE：回显服务器收到的请求，常用于测试
• CONNECT：要求用隧道协议连接代理，比如SSL加密
• HTTP服务器扩展其他自定义的方法

GET和POST请求的区别主要体现在三个方面，首先是作用，两个请求的设计理念就不一样：

• get主要用在查询操作，用来获取资源。
• post主要用在增删改操作，用来传递数据。

然后是安全性：

• get请求的参数拼接在url后面，前端直接就能看到参数的内容，不安全。并且受到url的长度限制，只能发送少量数据。
• post请求的参数放在请求体里面，前端看不到参数的内容，比gei要安全一些。而且不受url的长度限制，可以发送大的数据。

还有缓存和刷新机制：

• get请求可以被浏览器缓存，并且刷新没有影响。比如同样的请求，第一次请求是200，第二次请求就是304，直接查缓存。
• post请求不能缓存，每次都会请求到服务器才能响应；如果刷新的话，会重新提交一次数据。

4、HTTP响应状态码

HTTP响应报文的 Status Code 表示响应状态码，用来判断请求成功/失败的原因。

常见的响应状态码：

• 200 OK：请求成功
• 304 Not Modified：访问了缓存，短时间重复访问同一个页面，会直接去缓存，而不再请求服务器。
• 403 Forbidden：没有权限，请求的页面被禁止访问
• 404 Not Found：路径错误，服务器找不到被请求的页面
• 500 Internal Server Error：后端代码报错了，请求未完成。服务器遇到不可预知的情况。

完整的状态码如下：

1xx 请求信息

2xx 请求成功

3xx 请求被重定向

4xx 客户端错误

5xx 服务器错误

5、HTTP请求头

HTTP请求的中间部分就是请求头，一行一个，每个请求头的字段都有不同的作用，按需使用。

• Host：服务器的IP+端口，用来寻找目标服务器。
• Content-Length：请求体的长度，没有请求体就没有这个字段。
• Content-Type：请求体的格式，接收方按照这个格式解析。
• User-Agent：客户端的浏览器版本，接收方按照这个调整返回的内容。
• Referer：源URL，接收方可以验证请求的来源，防止恶意请求。
• Cookie：存储在浏览器本地的一些数据，比如账号密码可以用来免登陆。
• Accept：浏览器可接受的MIME类型
• Connection：是否需要长链接，Keep-Alive：使用，colse：关闭。
• X-Forwarded-For：源IP，接收方可以追溯请求的源IP，防止恶意请求。

6、抓包分析

打开wireshark开启「抓包」

1）访问百度：cmd 执行 curl -I baidu.com

2）获取百度的IP地址：ping baidu.com

3）过滤百度的数据包：「显示过滤器」输入 ip.addr == 39.156.66.10

6.1、分析三次握手报文

先看前三个包，HTTP是基于TCP的，需要先通过「三次握手」建立连接

1. 第一个包是「第一次握手」：我（192.168.2.121）向百度（39.156.66.10）发送一个 SYN ，表示这是一个「建立连接的请求」
2. 第二个包是「第二次握手」：百度（39.156.66.10）响应我（192.168.2.121）一个 SYN+ACK ，表示这是一个「接受连接的应答」
3. 第三个包是「第三次握手」，我（192.168.2.121）向百度（39.156.66.10）发送一个 ACK ，表示这一个「确认请求」
4. 发送完确认请求后，我开启到百度的「单向连接通道」；百度收到我的确认请求后，就开启到我这边的单向连接通道；「两边通道」都开启以后，就可以通信了。

6.2、分析HTTP请求和响应报文

再看中间三个包，TCP连接建立以后，开始「HTTP的请求和响应」

1. 第一个包是，我（192.168.2.121）向百度（39.156.66.10）发送了一个「HTTP请求」，请求类型是HEAD
2. 第三个包是，百度（39.156.66.10）向我（192.168.2.121）发送了一个「HTTP响应」，响应状态码是 200 OK

6.3、分析四次挥手报文

再看最后四个包，请求响应结束后，「TCP四次挥手」断开连接。

1. 第一个包是第一次挥手，我（192.168.2.121）向百度（39.156.66.10）发送一个FIN+ACK，表示这是一个释放连接的请求
2. 第二个包是第二次挥手，百度（39.156.66.10）向我（192.168.2.121）响应一个ACK，表示这是一个确认请求；我收到后，就会释放我到百度的单向连接
3. 第三个包是第三次挥手，百度（39.156.66.10）向我（192.168.2.121）发送一个FIN+ACK，表示这是一个释放连接的请求
4. 第四个包是第四次挥手，我（192.168.2.121）向百度（39.156.66.10）响应一个ACK，表示这是一个确认请求；百度收到后，就会释放到我这边的单向连接
5. 双向的连接都释放后，TCP连接就关闭了，此次通信结束

6.4、分析HTTP请求报文

看HTTP请求包，找到HyperText Transfer Protocol这一栏，就是HTTP的报文了

主要看我圈中的地方，上面是请求行，中间是请求头，请求体POST等才有这里没有。

点开请求行，看里面的三个字段：

• Request Method：请求方法，这里的请求方法是HEAD，用来获取报文首部
• Request URI：请求的URL，因为我们没指定，所以默认是/
• Request Version：请求的版本，因为用的是HTTP协议，所以这里显示HTTP协议的版本

再看下面的几个请求头：

• Host：目标主机
• User-Agent：代理，也就是浏览器的类型。我们用的不是浏览器，所以这里显示的是命令curl
• Accept：浏览器可接受的MIME类型

6.5、分析HTTP响应报文

看HTTP响应包，找到HyperText Transfer Protocol这一栏，也就是HTTP的报文

注意看我圈中的地方，上面是状态行，下面是响应头。

响应报文跟我们命令执行的返回结果其实是一样的。因为请求方式是 HEAD，只是获取头部信息，所有这里没有响应体，但能明显看到最后多了一行空格，也就是响应空行。

点开状态行，可以看到里面有三个字段：

• Response Version：响应版本，因为使用的是HTTP协议，所以这里显示了HTTP的版本
• Status Code：响应状态码，这里的 200 表示请求成功。
• Response Phrase：响应状态码的提示信息

再看下面的这些响应头：

• Date：服务端发送响应报文的时间
• Server：服务器和相对应的版本
• Last-Modified：请求的对象创建或者最后修改的时间
• ETag：对象的标志值，如果对象修改了，这个值也会变，用来判断对象是否改变
• Accept-Ranges：支持的范围单位
• Content-Length：内容长度
• Cache-Control：缓存控制
• Expires：这个时间前，可以直接访问缓存副本
• Connection：连接类型，Keep-Alive表示这是一个长链接，可以继续用这个连接通信
• Content-Type：资源文件类型