网络协议分析实验之Email的发送和接收--吴干A012012019一、用Telnet客户端模拟Email的发送：1、用Telnet客服端模拟邮件发送过程，其中命令的发送和应答都是遵循SMTP协议标准的。

我是基于本地邮箱服务器来实现邮件发送过程的，因此使用了RawCap软件对位于本地的127.0.0.1的25端口进行了数据的抓包。

（要先打开Windows系统的Telnet功能）2、模拟发送过程：先打开RawCap.exe程序，选择127.0.0.1端口对应的选项数字（我的实验中选择的是“2”），然后输入要存储的文件名（我的文件名为“sending.pcap”），然后按下Enter键，开始抓包。

接着打开cmd命令提示符，依次输入以下命令：telnet 127.0.0.1 25helo 127.0.0.1EHLO ahei-PCauth loginaGVpemk=d3VnYW4=MAIL FROM:<heizi@>RCPT TO:<heizi@>dataFrom:<lhtangyongwang@>To: <lhtangyongwang@>Subject:a test mailA simple test message....在RawCap中按ctrl+c，将抓取的数据包保存下来，并退出RawCap 程序。

打开wireshark软件，将“sending.pcap”拖拽进来，在Filter选项中输入smtp（因为我们的邮箱服务器是smtp标准的，所以要选择smtp类型），接着回车，会显示与smtp协议有关系的数据包，任意选择以数据包，鼠标右键选择“F o llow the TCP stream”,会出现刚才在cmd命令提示符中输入的命令和邮箱服务器的响应，显示出与邮件发送有关的内容，内容如下：二、用Telnet客户端模拟Email接收过程：1、用Telnet客服端模拟邮件接收过程，其中命令的发送和应答都是遵循POP3协议标准的。

我是基于本地邮箱服务器来实现邮件接收过程的，因此使用了RawCap软件对位于本地的127.0.0.1的110端口进行了数据的抓包。

2、再次打开RawCap.exe程序，选择127.0.0.1端口对应的选项数字（我的实验中选择的是“2”），然后输入要存储的文件名（我的文件名为“receive.pcap”），然后按下Enter键，开始抓包。

接着打开cmd 命令提示符，依次输入以下命令：telnet 127.0.0.1 110USER heiziPASS wuganSTATLISTuidlRETR 9dele 1rsettop 1 1noopquit接着重复上一个实验的过程，在RawCap中按ctrl+c，将抓取的数据包保存下来，并退出RawCap程序。

打开wireshark软件，将“receive.pcap”拖拽进来，在Filter选项中输入pop（因为要从服务器上取出邮件，所以要使用pop协议），接着回车,会显示与pop协议有关系的数据包，任意选择以数据包，鼠标右键选择“Follow the TCP stream”,会出现刚才在cmd命令提示符中输入的命令和邮箱服务器的响应，显示出与邮件发送有关的内容，内容如下：Delivered-To: heizi@X-WM-Delivered: heizi@Received: from ahei-PC ([127.0.0.1]).(envelope-sender <heizi@>).by 127.0.0.1 with ESMTP.for <heizi@>; Fri, 10 Apr 2015 10:16:54 +0800X-WM-AuthFlag: YESX-WM-AuthUser: heizi@FROM:<lhtangyongwang@>t.To:<lhtangyongwang@>s.Subject:a test maiil.A simple test message.noop+OKquit+OK三、用浏览器和Outlook客户端发送邮件（一）用浏览器发送邮件1、基本信息浏览器类型：Firefox37.0.1操作系统：Windows 7 专业版Service Pack 1发送者邮箱：QQ邮箱网页版接收者邮箱：163邮箱网页版2、操作过程打开Wireshark，开始抓包->打开Firefox浏览器，登陆QQ邮箱网页版->往hn158********@邮箱中发送一封邮件，主题为：test5 内容为：This is a 5th test.->在Wireshark中停止抓包->在Filter选项中输入“TCP”->在包列表窗口选择一个tcp协议的数据包，右键选择“Follow the TCP stream ”->出现与发送邮件有关的内容3、数据分析POST /cgi-bin/laddr_domain_check?sid=NAsz1DGsBCkaH1EE HTTP/1.1Host: User-Agent: Mozilla/5.0(Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Accept-Encoding: gzip, deflateDNT: 1Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Referer:/zh_CN/htmledition/ajax_proxy.html?&v=140521Content-Length: 76Cookie: ptui_loginuin=1311630655; pt2gguin=o1311630655; ptcz=11e5702980c01220a65d58cada565af35606ba2126173163eeeb0f6ea8534c1b; pgv_pvid=1061809320; o_cookie=1311630655; CCSHOW=000001; edition=; webp=0; pgv_info=ssid=s5738038400; pt_clientip=947b7f000001c3c8; pt_serverip=f5e00aab3d47f9a5; ptisp=ctc; uin=o1311630655; skey=@xI7sjBuXI; p_uin=o1311630655; p_skey=4Nh9HtY37GSQnusRDqtg6YIgEkGlNftsPPms5Pxn7wU_;pt4_token=tTWxvWbP1Q6wn8t1at*f4A__; wimrefreshrun=0&; qm_antisky=1311630655&293adefde880045efab09408acb58402e83c80ed8f10086e3d9f21686c8b0be5; qm_flag=0; qqmail_alias=1311630655@; sid=1311630655&e52ab14a37e82c9ac29ba1b93da2025f,qNE5oOUh0WTM3R1NRbnVz UkRxdGc2WUlnRWtHbE5mdHNQUG1zNVB4bjd3VV8.; qm_username=1311630655; new_mail_num=1311630655&46;qm_sid=e52ab14a37e82c9ac29ba1b93da2025f,qNE5oOUh0WTM3R1NRbnVzUkRxdGc2 WUlnRWtHbE5mdHNQUG1zNVB4bjd3VV8.; qm_domain=; qm_ptsk=1311630655&@xI7sjBuXI; foxacc=1311630655&0; ssl_edition=; username=1311630655&1311630655Connection: keep-alivePragma: no-cacheCache-Control: no-cacheacttype=4&sid=NAsz1DGsBCkaH1EE&uin=1311630655&addrfilt=hn158********@ HTTP/1.1 200 OKServer: TWSConnection: Keep-AliveKeep-Alive: timeout=15Date: Sun, 19 Apr 2015 12:20:34 GMTContent-Type:text/html; charset=GB18030Transfer-Encoding: chunked Array3e({invalidlocalaccount:[null], addrhistory: [""],success:true})POST /cgi-bin/laddr_domain_check?sid=NAsz1DGsBCkaH1EE HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Accept-Encoding: gzip, deflateDNT: 1Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Referer:/zh_CN/htmledition/ajax_proxy.html?&v=140521Content-Length: 108Cookie: ptui_loginuin=1311630655; pt2gguin=o1311630655; ptcz=11e5702980c01220a65d58cada565af35606ba2126173163eeeb0f6ea8534c1b; pgv_pvid=1061809320; o_cookie=1311630655; CCSHOW=000001; edition=; webp=0; pgv_info=ssid=s5738038400; pt_clientip=947b7f000001c3c8; pt_serverip=f5e00aab3d47f9a5; ptisp=ctc; uin=o1311630655; skey=@xI7sjBuXI; p_uin=o1311630655; p_skey=4Nh9HtY37GSQnusRDqtg6YIgEkGlNftsPPms5Pxn7wU_;pt4_token=tTWxvWbP1Q6wn8t1at*f4A__; wimrefreshrun=0&; qm_antisky=1311630655&293adefde880045efab09408acb58402e83c80ed8f10086e3d9f21686c8b0be5; qm_flag=0; qqmail_alias=1311630655@; sid=1311630655&e52ab14a37e82c9ac29ba1b93da2025f,qNE5oOUh0WTM3R1NRbnVz UkRxdGc2WUlnRWtHbE5mdHNQUG1zNVB4bjd3VV8.; qm_username=1311630655; new_mail_num=1311630655&46;qm_sid=e52ab14a37e82c9ac29ba1b93da2025f,qNE5oOUh0WTM3R1NRbnVzUkRxdGc2 WUlnRWtHbE5mdHNQUG1zNVB4bjd3VV8.; qm_domain=; qm_ptsk=1311630655&@xI7sjBuXI; foxacc=1311630655&0; ssl_edition=; username=1311630655&1311630655Connection: keep-alivePragma: no-cacheCache-Control: no-cachesid=NAsz1DGsBCkaH1EE&addrs=a@&addrlist=&acttype=3&t=laddr_domain_check&addrfilt=hn158********@HTTP/1.1 200 OKServer: TWSConnection: Keep-AliveKeep-Alive: timeout=15Date: Sun, 19 Apr 2015 12:20:34 GMTContent-Type: text/html; charset=GB18030Transfer-Encoding: chunked6d({checkdomain:[null],domainlimit:[["","73400320","0"],null],in validlocalaccount:[null], success:true})我的分析：可以从上面截取的内容中发现很多信息，如发送者的qq 账户，qq邮箱中的邮件份数（关键字“new_mail_num”后面“&”的数字就是），接收者的邮箱类型。