https://play.google.com/apps/test/RQFlordB7z8/ahAIGJVrcSQNYxHGIYbG31j5ctZzYMIhwLHRyBXkaNfF1hWjOsI-P0oBIeGy-R0igQciAypFSaAdXXFhfEGOw_48xy

Q&A

HTTP是什么？作用？
HTTP：超文本传输协议，定义了web客户向web服务器请求页面的方式，以及服务器向客户传送页面的方式，使用TCP作为传输层协议，HTTP是无状态的，对于交互场景没有记忆能力。

HTTP连接方式？
HTTP既可以采用持续连接，也可以使用非持续连接，默认状态下使用持续连接，即每个请求和响应都通过相同的TCP连接传送。
非持续连接使用并行可以降低访问时间。

HTTP请求报文格式：

第一行是请求行，其余是首部行。
请求行包括三个字段：
（1）请求方法字段，包括GET，POST等，二者的区别在于GET请求的页面不依赖用户信息，但表单生成的请求报文不是必须用POST方法，也可以在URL中直接包含。
（2）URL字段
（3）HTTP版本字段
首部行：告诉服务器请求网站(host)，使用持续/非持续连接，浏览器版本，语言等信息

HTTP响应报文：
包含三个部分：
（1）初始状态行：包含协议版本字段，状态码，状态信息
（2）首部行：包含是否关闭TCP连接，日期，内容长度等信息
（3）实体：正文

cookie的作用：
因为HTTP是无状态的，为了把用户身份和请求关联起来，HTTP使用了cookie。
cookie的四个组件：
（1）HTTP响应报文中的一个cookie首部行
（2）HTTP请求报文中的一个cookie首部行
（3）用户端系统由浏览器管理的cookie文件
（4）web站点的后端数据库

HTTP抓包

(1)普通http
(1)打开浏览器输入：http://gaia.cs.umass.edu/wireshark-labs/HTTP-wireshark-file1.html

本机向服务器发送的请求，服务器返回的包：

HTTP请求报文：

HTTP响应报文：

服务器上HTML文件的最近一次修改是什么时候？看Last-Modified，竟然是在一分钟前！这是因为服务器的设置。

(2)条件get
输入http://gaia.cs.umass.edu/wireshark-labs/HTTP-wireshark-file2.html，再输入一次，抓包发现第一个不是条件get，第二次是。第一次服务器返回了html内容，第二次服务器发现没有改变，返回状态字304，Not Modified。

(3) 长文件检索

访问http://gaia.cs.umass.edu/wireshark-labs/HTTP-wireshark-file3.html，发现服务器返回了四个由TCP传输的包

(4) 嵌入对象的HTML
访问，http://gaia.cs.umass.edu/wireshark-labs/HTTP-wireshark-file4.html，页面包含一段文字和两张图片。
发现捕获了好多包，其中有三个GET，一个是请求页面，两个是请求图片，符合预期

判断是否是并行下载？
因为两张图片的请求有时间差，所以应该不是并行，而是串行。

(5)HTTP认证
访问受密码保护的网站：http://gaia.cs.umass.edu/wireshark-labs/protected_pages/HTTP-wireshark-file5.html，输入用户名：wireshark-students，密码：network。
捕获了四个包：

第一次服务器返回782状态字，显示没有授权。
第二次GET请求中包含了输入的用户名和密码：

一、Fiddler介绍

        Fiddler是一个http协议调试代理工具，它能够记录并检查所有你的电脑和互联网之间的http通讯，设置断点，查看所有的“进出”Fiddler的数据（指cookie,html,js,css等文件）。 Fiddler 要比其他的网络调试器要更加简单，因为它不仅仅暴露http通讯还提供了一个用户友好的格式。 

        简单的说，它是一款强大的Web调试工具(包含的抓包功能），能记录所有客户端和服务器的HTTP请求和响应，还能模拟HTTP请求的发送。

二、下载与安装配置

（一）下载与安装

官网下载：Fiddler | Web Debugging Proxy and Troubleshooting Solutions

百度网盘下载：链接：https://pan.baidu.com/s/18OWhSGNnCZamTairgPB5Bg 
提取码：8888

提示：如果通过官网下载不了，可能你被屏蔽了！可以换百度网盘下载！！！

安装方法很简单，下载压缩包加压后只有一个.exe安装程序，直接点击安装即可！

安装完成后启动程序：

可以右键点击图标创建一个快捷方式拖到桌面，方便以后的打开！

（二）配置Fiddler

第一步：在顶部菜单栏找到Tools

 第二步：点击Tools，在打开的会话窗点击Options

 完成1，2后，进行第3，打开Actions

 点击红笔画出的按钮

 最后选择Yes，一路🆗！！！

第三步：配置Connections，按照我图片的这样配置就行！！

第四步：看清楚哦！到此全部配置完成，点击OK，然后重启FIddler。

 三、安装和配置SwitchyOmega插件

        本人喜欢使用的浏览器是谷歌Chrome，当每次使用Fiddler抓包工具时，就需要进行对浏览器修改代理服务器，每次都重复这样操作会使我们很烦！！！

        所以我们有必要安装一个SwitchyOmega插件进行管理Chrome浏览器的代理。

（一）安装

官网下载：https://switchyomega.com/

百度网盘下载：链接：https://pan.baidu.com/s/1Bg4IEfJ-oac4vPyEZg4zJQ 
提取码：8888

提示：官网可能会打不开，可以直接百度网盘下载！！！

（二）配置

第一步：下载完成后解压会看到下面两个文件：

 第二个就是我们的目标文件！！！

第二步：打开Chrome浏览器，点击右上角的三个点点，打开如下界面，打开扩展程序窗口。

 第三步：打开开发者模式，然后加载已解压的扩展程序，即刚刚我们第一步下载完成的目标文件。

 第四步：导入目标文件

第五步：进去配置Fiddler

找到选项：

新建情景模式，按照我的配置来，最后点击应用选项，保存成功！！！

 第六步：重启浏览器和Fiddler，到此全部配置完成！！！

点击浏览器右上角该图标可以打开扩展程序

 点击可以随意切换代理服务器！！！

四、问题与解决方法

（一）打开Fiddler后Chrome浏览器无法正常打开网页

 解决办法：重新看回上面的Fiddler和SwitchyOmega配置步骤，检查是否自己疏忽了。

如果确保没错后，问题还是没能解决，欢迎下面评论区留言，小玥看到后会一一解答！！！

（二）重启Chrome浏览器后，发现右上角的扩展程序图标不见啦

解决办法：重新操作上面SwitchyOmega配置步骤！！！

        因为该SwitchyOmega插件不是通过Chrome官方商店下载的，由于升级后的Chrome浏览器安全问题，每次重启浏览器，会重置一些操作！也考虑过从Chrome官方商店下载插件，但是商店很多时候都打不开等等原因！！！

        该问题也许还有其他更优的解决办法，知道的评论区分享一下！！！

 风里雨里，小玥评论区等你！！！三连，必回！！！

WireShark抓包使用

一、WireShark简介

1、什么是WireShark？

​ Wireshark是一款最流行和强大的开源数据包抓包与分析工具，可以截取各种网络数据包，并可以查看网络数据包详细信息。

2、WireShark的用途

​ 该软件在网络安全与取证分析中起到了很大作用，作为一款网络数据嗅探与协议分析器，已经成为网络运行管理、网络故障诊断、网络应用开发与调试的必用工具。

二、WireShark的基础使用

使用须知

​ 1、wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容。

​ 2、使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。

​ 3、wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

​ 4、wireshark的窗口介绍

数据包列表（Packlist List）

No ：数据包的序列号
Time：数据抓取的时间
Source：源地址
Destination：目的地址
Protocol： 协议
Length：包长度
Info：数据包内容

我们可以选中数据包，右键追踪流

追踪流查看详细信息：

这样就可以比较清晰的看到一个数据流过程。还可以看到自己的cookie，host，浏览器信息，等http数据包的详细内容。

数据包细节（Packet Details）：

5、着色规则：

​ 数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏【视图】–>【着色规则】。如下所示，可快速根据着色规则，筛选需要的数据：

可以粗略地看到，黑色背景代表报文的各类错误，红色背景代表各类异常情景，其它颜色代表正常。

Bad TCP：tcp.analysis.flags && !tcp.analysis.window_update
即TCP解析出错，通常重传，乱序，丢包，重复响应都在此条规则的范围内。

HSRP State Change：hsrp.state != 8 && hsrp.state != 16
HSRP即热备份路由协议（Hot Standby Router Protocol），这条规则表示状态非active和standby。

Spanning Tree Topology  Change：stp.type == 0x80
生成树协议的状态标记为0x80，生成树拓扑发生变化。

OSPF State Change：ospf.msg != 1
OSPF（Open Shortest Path First，开放式最短路径优先协议）的msg类型不是hello。

ICMP errors：icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4
ICMP协议错误，协议的type字段值错误。

ARP：arp【即ARP协议】

ICMP：icmp || icmpv6【即icmp协议】

TCP RST：tcp.flags.reset eq 1【TCP流被RESET。】

SCTP ABORT：sctp.chunk_type eq ABORT【串流控制协议的chunk_type为ABORT（6）】

TTL low or unexpected：( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp))【TTL异常。】

Checksum Errors：eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1
【条件中的各类协议的checksum异常，在PC上抓包时网卡的一些设置经常会使Wireshark显示此错误。】

SMB：smb || nbss || nbns || nbipx || ipxsap || netbios【Server Message Block类协议。】

HTTP：http || tcp.port == 80 || http2【HTTP协议，这是很简陋的识别方法。】

IPX：ipx || spx【互联网络数据包交换（Internet work Packet Exchange）类协议。】

DCERPC：dcerpc【即DCE/RPC，分散式运算环境/远端过程调用（Distributed Computing Environment / Remote Procedure Calls）协议。】

Routing：hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp || ismp【路由类协议。】

TCP SYN/FIN：tcp.flags & 0x02 || tcp.flags.fin == 1【TCP连接的起始和关闭。】

TCP：tcp【TCP协议。】

UDP：udp【UDP协议。】

Broadcast：eth[0] & 1【广播数据。】

​ 6、显示过滤器：用于设置过滤条件进行数据包列表的过滤，菜单路径：【分析】->Display Filters

7、数据列表区：显示捕获到的数据包，每个数据包包含编号，时间戳，源地址，目标地址，协议，长度，以及数据包信息，不同协议的数据包使用不同的颜色区分显示

8、数据详细区：在数据列表中显示指定的数据包，在数据包详细信息中会显示数据包的所有详细信息内容，数据包详细信息面板是最重要的，用来查看协议中的每一个字段，各行信息分别为

（1）Frame：物理层的数据帧情况

（2）Ethernet II：数据链路层以太网帧头部信息

（3）Internet ProtocolVersion 4：互联网层ip包，头部信息

（4）Transmiss control Protocal:传输层的数据段，头部信息，此处是TCP

在TCP层，有个FLAGS字段，这个字段有以下几个标识：SYN, FIN, ACK, PSH, RST, URG。对于我们日常的分析有用的就是前面的五个字段。它们的含义是：SYN表示建立连接，FIN表示关闭连接，ACK表示响应，PSH表示有DATA数据传输，RST表示连接重置。

（5）Hypertext Transfer Protocol:应用层的信息，此处是HTTP协议

如何抓包

方式一：服务器命令

​ tcpdump -i any -w test.pcap

​抓取所有网络接口数据包，并保存到当前路径的test.pcap文件中；
Linux tcpdump命令用于倾倒网络传输数据； 命令格式：tcpdump -i 接口 -w 保存的路径 host 主机IP and
port 端口号 -s0 -C 包大小

Linux tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

-i：interface 指定tcpdump 需要监听的接口. 如果没有指定, tcpdump 会从系统接口列表中搜寻编号最小的已配置好的接口(不包括 loopback 接口).

-w: 把包数据直接写入文件而不进行分析和打印输出. 这些包数据可在随后通过-r 选项来重新读入并进行分析和打印.

-s：snaplen 设置tcpdump的数据包抓取长度为snaplen, 如果不设置默认将会是68字节.

-C:file-size (nt: 此选项用于配合-w file 选项使用) 该选项使得tcpdump 在把原始数据包直接保存到文件中之前, 检查此文件大小是否超过file-size. 如果超过了, 将关闭此文件,另创一个文件继续用于原始数据包的记录. 新创建的文件名与-w
选项指定的文件名一致, 但文件名后多了一个数字.该数字会从1开始随着新创建文件的增多而增加.

方式二：wireShark工具抓包

1、截取准备：打开wireshark工具，选择菜单栏上【捕获】->【选项】->选择对应网卡或所有网卡->【开始】（如果捕获选项列表为空，【捕获】->【刷新接口列表】）

如下图：

2、开始，以及停止抓包

抓取的文件可在导航栏【文件】->【保存】或直接进行分析

如何根据抓取的包进行分析

​ 将抓取的包直接通过WireShark工具打开，打开如下；

分析之前先了解下wireshark的功能菜单；过滤器和着色规则筛选我们需要的内容

1.SYN，FIN会消耗一个序号，单独的ACK不消耗序号

2、WIN表示可以接收数据的滑动窗口（接收缓冲区）是多少，如果A发到B的包的win为0，就是A告诉B说我现在滑动窗口为0了，饱了，你不要再发给我了，就说明A端环境有压力

3、ACK可以理解为应答。A发给B的ack是告诉B，我已收到你发的数据包，收到ack号这里了，你下次要发seq为ack号的给我

4、连续传输的时候，且无乱序，无丢包的情况下：上一个包的seq + len = 下一个包的 seq，如：

场景一：零窗口win=0

TCP零窗口是指机器中的窗口大小在指定的时间内保持为零的时间,这意味着客户端此时无法接收更多信息，并且TCP传输将暂停，直到它可以处理其接收缓冲区中的信息。

1、作为接收方，有接收窗口，也就是接收缓冲区，win=xxx 告诉对方，我的接收窗口大小。

2、当我的接收窗口满了，也就是win=0，Wireshark显示【TCP ZeroWindow】，这个时候，对方不能再发送数据。

3、作为发送方，有发送窗口，发送窗口可以理解为，一口气可以发送多少数据。发送窗口不光要考虑对方的接收窗口，还要考虑网络情况，也就是拥塞窗口，等于它们的最小值。

零窗口故障排除由于这样或那样的原因，提示零窗口的机器将不再从主机接收任何数据。可能是机器当时正在运行太多进程，并且其处理器是最大的。或者可能是TCP接收器中存在错误，例如Windows注册表配置错误。尝试确定TCP零窗口发生时客户端正在做什么。

场景二：TCP的三次握手

Wireshark抓包分析TCP三次握手
（1）TCP三次握手连接建立过程
Step1：客户端发送一个SYN=1，ACK=0标志的数据包给服务端，请求进行连接，这是第一次握手；
Step2：服务端收到请求并且允许连接的话，就会发送一个SYN=1，ACK=1标志的数据包给发送端，告诉它，可以通讯了，并且让客户端发送一个确认数据包，这是第二次握手；
Step3：服务端发送一个SYN=0，ACK=1的数据包给客户端端，告诉它连接已被确认，这就是第三次握手。TCP连接建立，开始通讯。

第一次握手数据包
客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图

数据包的关键属性如下：
SYN ：标志位，表示请求建立连接
Seq = 0 ：初始建立连接值为0，数据包的相对序列号从0开始，表示当前还没有发送数据
Ack =0：初始建立连接值为0，已经收到包的数量，表示当前没有接收到数据

第二次握手的数据包
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

数据包的关键属性如下：
[SYN + ACK]: 标志位，同意建立连接，并回送SYN+ACK
Seq = 0 ：初始建立值为0，表示当前还没有发送数据
Ack = 1：表示当前端成功接收的数据位数，虽然客户端没有发送任何有效数据，确认号还是被加1，因为包含SYN或FIN标志位。（并不会对有效数据的计数产生影响，因为含有SYN或FIN标志位的包并不携带有效数据）

第三次握手的数据包
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

数据包的关键属性如下：
ACK ：标志位，表示已经收到记录
Seq = 1 ：表示当前已经发送1个数据
Ack = 1 : 表示当前端成功接收的数据位数，虽然服务端没有发送任何有效数据，确认号还是被加1，因为包含SYN或FIN标志位（并不会对有效数据的计数产生影响，因为含有SYN或FIN标志位的包并不携带有效数据)。
就这样通过了TCP三次握手，建立了连接。开始进行数据交互。

三、WireShark的过滤器的使用

1、过滤器的使用

​ 在刚使用wireshark时，可能会得到大量的冗余数据包列表，以致于很难找到自己想要抓取的数据包部分。

​ wireshark自带了两种类型的过滤器，熟练使用这两种过滤器能够帮助我们在大量的数据中迅速找到我们需要的信息。

方式一、捕获过滤器

用于抓取数据包之前设置：【捕获】->【Display Filters】

捕获过滤器的使用：捕获主机ip为172.23.22.86的tcp数据包

捕获结果如下：

方式二、显示过滤器

菜单栏：【分析】->【Display Filters】

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛，抓取的数据包内容较多时使用显示过滤器设置条件顾虑以方便分析，如下

2、wireshark过滤器表达式的规则

1、协议过滤

比如TCP只显示TCP协议，

2、IP过滤

​	比如ip.src==172.23.22.86显示源地址为172.23.22.86

​	ip.dst==172.23.28.240显示目标地址为172.23.28.240

​	ip.addr==172.23.28.240显示ip地址为172.23.28.240的数据包

3、端口过滤

​	tcp.port==8081,端口为8081的

​	tcp.srcport==8081,只显示TCP协议的源端口为8081的

4、Http模式过滤

​	http.request.method=="GET"，只显示HTTP GET方法的

5、逻辑运算符为AND/OR

！tcp:显示非tcp协议的数据包

常用过滤表达式：

过滤表达式：多个过滤器之间用and、or、xor、not合并成一个语句

可以使用6种比较运算符

Logical expressions（逻辑运算符）

• 最后：欢迎点赞、关注、收藏！！！

【前端-开发环境】使用NVM实现不同nodejs版本的自由切换（NVM完整安装使用手册）
【前端-NPM私服】内网使用verdaccio搭建私有npm服务器
【前端-IE兼容】Win10和Win11使用Edge调试前端兼容IE6、IE7、IE8、IE9、IE10、IE11问题
【工具-Shell脚本】java程序产品包模板-linux和windows通用shell启动停止脚本(无需系统安装Java运行环境)
【工具-Nginx】Nginx高性能通用配置文件-注释版-支持防刷限流、可控高并发、HTTP2、防XSS、Gzip、OCSP Stapling、负载、SSL
【后端-maven打包】通过profile标签解决同时打jar包 war包需求
【后端-SpringCache】基于Spring Cache封装一个能够批量操作的Redis缓存记录下踩坑历程（pipeline或mget封装）
【后端-SkyWalking】SkyWalking前后端开发环境搭建详细教程步骤-6.x/7.x/8.x版本通用-插件二次开发利器（一）