应用分析 － Email电子邮件应用分析.doc

羆肃薈螃袂肂芈薅螈肁莀螁蚄膁蒃薄羂膀膂蝿袈腿芅薂螄膈蒇螇螀膇蕿蚀聿膆艿蒃羅膆莁蚈袁膅蒄蒁螇芄膃蚇蚃芃芆蒀羁节莈蚅袇芁薀蒈袃芀芀螃蝿芀莂薆肈艿蒄螂羄芈薇薄袀莇芆螀螆羃荿薃蚂羃蒁螈肁羂芁薁羇羁莃袇袃羀蒅虿蝿罿薈蒂肇羈芇蚈羃羇莀蒀衿肇蒂蚆螅肆膂葿蚁肅莄蚄肀肄蒆薇羆肃薈螃袂肂芈薅螈肁莀螁蚄膁蒃薄羂膀膂蝿袈腿芅薂螄膈蒇螇螀膇蕿蚀聿膆艿蒃羅膆莁蚈袁膅蒄蒁螇芄膃蚇蚃芃芆蒀羁节莈蚅袇芁薀蒈袃芀芀螃蝿芀莂薆肈艿蒄螂羄芈薇薄袀莇芆螀螆羃荿薃蚂羃蒁螈肁羂芁薁羇羁莃袇袃羀蒅虿蝿罿薈蒂肇羈芇蚈羃羇莀蒀衿肇蒂蚆螅肆膂葿蚁肅莄蚄肀肄蒆薇羆肃薈螃袂肂芈薅螈肁莀螁蚄膁蒃薄羂膀膂蝿袈腿芅薂螄膈蒇螇螀膇蕿蚀聿膆艿蒃羅膆莁蚈袁膅蒄蒁螇芄膃蚇蚃芃芆蒀羁节莈蚅袇芁薀蒈袃芀芀螃蝿芀莂薆肈艿蒄螂羄芈薇薄袀莇芆螀螆羃荿薃蚂羃蒁螈肁羂芁薁羇羁莃袇袃羀蒅虿蝿罿薈蒂肇羈芇蚈羃羇莀蒀衿肇蒂蚆螅肆膂葿蚁肅莄蚄肀肄蒆薇羆肃薈螃袂肂芈薅螈肁莀螁蚄膁蒃薄羂膀膂蝿袈腿芅薂螄膈蒇螇螀膇蕿蚀聿膆艿 应用分析 － Email电子邮件应用分析 邮件传输协议简介 邮件传输概念 邮件服务是Internet上最常用的服务之一，它提供了与操作系统平台无关的通信服务，使用邮件服务，用户可通过电子邮件在网络之间交换数据信息。邮件传输包括将邮件从发送者客户端发往邮件服务器，以及接收者从邮件服务器将邮件取回到接收者客户端。 SMTP和POP3 Post Office Protocol 3，中文名为第三版邮局协议，工作在TCP/IP层次的应用层。POP3采用Client/Server工作模式，默认使用TCP 110端口，提供可靠的邮件接收服务。 SMTP和POP3SMTP工作原理： 客户端使用TCP协议连接SMTP服务器的25端口； 客户端发送HELO报文将自己的域地址告诉给SMTP服务器； SMTP服务器接受连接请求，向客户端发送请求账号密码的报文； 客户端向SMTP服务器传送账号和密码，如果验证成功，向客户端发送一个OK命令，表示可以开始报文传输； 客户端使用MAIL命令将邮件发送者的名称发送给SMTP服务器； SMTP服务器发送OK命令做出响应； 客户端使用RCPT命令发送邮件接收者地址，如果SMTP服务器能识别这个地址，就向客户端发送OK命令，否则拒绝这个请求； 收到SMTP服务器的OK命令后，客户端使用DATA命令发送邮件的数据。 客户端发送QUIT命令终止连接。 POP3工作原理： 客户端使用TCP协议连接邮件服务器的110端口使用USER命令将邮箱的账号传给POP服务器使用PASS命令将邮箱的账号传给服务器完成认证后，使用STAT命令请求服务器返回邮箱的统计资料LIST命令列出服务器里邮件数量使用RETR命令接收邮件，接收一封后便使用DELE命令将邮件服务器中的邮件置为删除状态QUIT命令，邮件服务器将置为删除标志的邮件Email电子邮件通讯过程 分析Email的具体流程 发送邮件 我们使用科来网络分析系统5.0捕获并分析一个使用SMTP协议的发送邮件过程，客户端主机名为“wangym”，客户端用户代理使用Foxmail 5.0 beta2，邮件发送者test1@，邮件接收者test2@。 在客户端主机上打开科来网络分析系统5.0。为避免数据干扰，设定一个过滤器，只捕获本机的数据通讯。 打开客户端主机上的Foxmail 5.0 beta2，新建两个邮件账户，test1@和test2@，设置好账户的SMTP/POP3服务器地址、用户名、密码等信息并测试成功。 在科来网络分析系统5.0中开始数据捕获，在Foxmail中使用test1@向test2@发送一封邮件，邮件原始信息如图1所示。发送完成后即可在科来网络分析系统5.0对刚才的邮件发送操作进行分析（为避免数据包干扰，分析时可停止捕获。）。 注意：此文里提到的发送邮件均指使用TCP 25端口的标准SMTP通信，对于非25端口的邮件发送，用户可在“工程-高级分析模块-邮件分析模块-SMTP设置-SMTP端口”处进行更改，系统默认为25，当SMTP服务器有多个端口时，多个端口之间用分号分隔，如25;125。 （图1　发送邮件的原始信息） （图2　使用SMTP协议发送邮件的原始数据包） 图2所示的是科来网络分析系统5.0对上面发送邮件操作的报文跟踪，详细信息如下： 第1、2、3个数据包是TCP连接的三次握手数据包，连接的双方是本机与域名对应的IP地址； 从第4个数据包开始，客户端开始通过TCP协议连接SMTP服务器，并与SMTP服务器进行命令的交互，及邮件的发送，具体的交互过程详见图3以及对图3的分析。 （图3　使用SMTP协议发送邮件的原始数据流） 图3所示的是科来网络分析系统5.0对上面发送邮件操作的TCP原始数据流重组信息。具体分析数