1、 第五章应用层协议分析实验十六邮局协议 POP3分析【实验目的】1、理解 POP3 协议 的基本原理;2、了解 POP3 的工作 过程;3、了解 POP3 的基本命令格式;4、了解应用层协议与传输层协议的关系。【实验学时】2学时【实验环境】本实验要求实验室主机能够连接到 Internet,具有事先申请好可用的电子邮件帐户,并且能够支持 SMTP和 POP3协议。每台实验室主机都安装有 Outlook Express软件,学生可以进行账 号的配置,并利用其进行收发邮件的的操作。实验拓扑如图 5- 85所示:图 5- 85 实验拓扑图【实验内容】1、学习邮件服务的工作原理;2、理解 POP3 协议
2、 ;3、学习 POP3 协议 的命令格式和使用方法;4、学习协议编辑软件的使用方法。183博客地址 http:/ 5- 86 实验流程图【实验原理】POP协议 允许工作站 动态访问服务 器上的邮件,目前已发展到第三版,称为 POP3 。POP协议 采用客户 /服务器工作模式,允 许工作站检索邮件服务器上的邮件。 POP3 传输的是数据消息,这些消息可以是指令,也可以是应答。POP协议 是一个脱机 协议,支持 “离线”邮件处理。其具体过程是:邮件发送到接收方的服务器上,接收方用户代理连接到服务器,发送用户名和口令,访问邮箱,下载所有未阅读的电子邮件。这种离线访问模式是一种存储转发服务,将邮件从邮
3、件服务器端拉取到个人终端机器上。POP3收取邮件有 2种方式,删除方式和保存方式。删除方式就是在每一次收取邮件后把邮箱中的这个邮件删除,而保存方式则是在用户收取邮件后仍然在邮箱中保存这个邮件。POP3使用 TCP作为传输协议。用 户代理在 TCP端口 110打开到服务器的连接。POP3命令POP3命令是 发送在客 户机和服务 器间的 ASCII信息。POP3 命令主要有:184QQ邮件订阅 http:/U 5-12 POP3命令列表命令 描述USER 用户名PASS 用户密码STAT 服务器上的邮件信息,如邮件总数和总字节数读取邮件RETR DELE 将邮件标记为删除LIST 列举出邮件的项目
4、NOOP 不做任何事情,仅返回一个回应中断当前操作,将标记为删除的邮件恢复从头开始(包含协议头)打印 X行信息退出 POP3 服务器RSET TOP QUIT 【实验步骤】步骤一:利用 Outlook工具接收 电子邮件,捕获数据包并分析1、打开邮件工具:Outlook Express,按照已经申请的邮箱信息进行配置,例如 邮箱为,密码为:Test2008,配置完成后可看到的邮件帐户属性为:图 5- 87在 Outlook Express中设置邮箱帐户185博客地址 http:/ “过滤器” ,在“ 端口过滤器 ” 的“端口值”中选择“ 发 送/接收 ”的端口为 110 ,如图 5- 88所示:
5、图 5- 88 设置 POP 协议过滤器3、在 Outlook中创建一封邮件,发送出去,再使用 Outlook工具进行接收;4、进行数据捕获,并分析数据包内容,可以看到 POP3协议的命令和参数,如图 5- 89和图 5- 90所示,就是 POP3协议使用 USER 命令和 PASS命令在传输邮件的帐号和密码:图 5- 89 POP3协议的 USER 命令186QQ邮件订阅 http:/U 5- 90 POP3协议的 PASS命令5、分析其中接收邮件的过程传输层采用什么协议?使用的端口号是多少,代表什么协议?步骤二:利用 TCP连接客户端工具和 POP命令接收电子 邮件本步骤的目的是学习 PO
6、P3协议 的命令用法,以及接收一个邮件的过程。1、首先用 Outlook工具构造一个邮件发送出去,如图 5- 91所示,然后关闭 Outlook工具;图 5- 91 使用 Outlook构造一封测试用邮件187博客地址 http:/ POP3服务器的 TCP 连 接,继续使用 的 POP3服务器,可从刚才捕获到的报文中看到其 IP地址为: 202.208.5.100,用户名: 2008.test.star ,密码为:Test2008,邮件服 务器域名: 。(1)、首先打开协议分析仪,准备好进行数据包的捕获,然后点击工具栏中的“TCP”按钮;(2)、在弹出的“TCP连接工具”中填写服务器的 IP
7、地址(202.208.5.100)及服务器POP3协议 的端口号( 110),点击 “启动”,从而建立本机与 POP3服务器的 TCP 连接:(3)、若连接成功,在接收窗口会显示成功连接的信息(+OK Welcome to coremail MailPop3 Server (163coms3d8c1fa079729fb6acc588e66d30360es);若不成功,再次尝试进行连接,直到成功。2、用 POP3 命令接收 邮件,捕获 数据包并进行分析:(1)、在发送的编辑栏里面编辑发送 POP 3协议的命令 USER,参数为邮箱帐号:USER2008.test.star;(2)、发送命令 PA
8、SS,参数为邮 箱密码: PASS Test2008;(3)、此时可以看到服务器对油箱帐号的验证已经通过,返回了邮箱内的邮件数量和占用字节数:1封邮件,大小是 2038字节,可以用 STAT命令和 LIST命令(无参数)再次查看邮箱内邮件的情况;(4)、使用 RETR命令收邮件,携带参数 “1”,表示读取第一封邮件的内容;(5)、服务器返回邮件的内容,从中可以看到:From: “2008.test.star“ ;To: Subject: test邮件正文内容使用 BASE64 编码,所以无法在 TCP工具中看明内容;188QQ邮件订阅 http:/U DELE 命令删除邮件,携带参数 “1”表
9、示删除第一封 邮件;(7、)使用命令 QUIT可以结束会话,断开连接。下面是在协议分析仪的 TCP工具“ 数据信息”区域显示的全部交互过程:-正在连接 202.108.5.100:110连接成功!+OK Welcome to coremail Mail Pop3 Server(163coms3d8c1fa079729fb6acc588e66d30360es)-发送 USER 2008.test.star发送成功!+OK core mail-发送 PASS Test2008发送成功!+OK 1 message(s) 2038 byte(s)-发送 STAT发送成功!+OK 1 2038-发送 L
10、IST发送成功!+OK 1 20381 2038.-发送 RETR 1发送成功!+OKX-Kaspersky: Original server data starting here: +OK 2038 octetsReceived: from STAR (unknown 211.103.220.164)by smtp1 (Coremail) with SMTP id C9GowLArtjuu3dlIjM41KQ=.50241S2;Wed, 24 Sep 2008 14:26:54 +0800 (CST)Message-ID: From: “2008.test.star“ To: Subject
11、: testDate: Wed, 24 Sep 2008 14:26:53 +0800MIME-Version: 1.0Content-Type: multipart/alternative;boundary=“-=_NextPart_000_0189_01C91E51.9760AF50“X-Priority: 3X-MSMail-Priority: NormalX-Mailer: Microsoft Outlook Express 6.00.2900.5512X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5579X-Coremail-
12、Antispam:1Uf129KBjDUn29KB7ZKAUJUUUUUYxn0WfASr-VFAUDa7-sFnT9fnUUIcSsGvfJTRUUUjOAYjsxI4VWxJwAYFVCjjxCrM7AC8VAFwI0_Jr0_Gr1l1I0E4x80FVCIwcAKzIAtM7C26IkvcIIF6IxKo4kEV4yl1IIY67AEw4v_Jr0_Jr4lYx0E2Ix0cI8IcVAFwI0_JrI_JrylYx0Ex4A2jsIE14v26r4UJVWxJr1lFcxC0VAYjxAxZF0Ew4CEw7xC0w189博客地址 http:/ is a multi-part mes
13、sage in MIME format.-=_NextPart_000_0189_01C91E51.9760AF50Content-Type: text/plain;charset=“gb2312“Content-Transfer-Encoding: base64aGVsbG8hDQpUaGlzIGlzIGEgdGVzdCBtYWlsIQ=-=_NextPart_000_0189_01C91E51.9760AF50Content-Type: text/html;charset=“gb2312“Content-Transfer-Encoding: base64PCFET0NUWVBFIEhUTU
14、wgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMCBUcmFuc2l0aW9uYWwvL0VOIj4NCjxIVE1MPjxIRUFEPg0KPE1FVEEgaHR0cC1lcXVpdj1Db250ZW50LVR5cGUgY29udGVudD0idGV4dC9odG1sOyBjaGFyc2V0PWdiMjMxMiI+DQo8TUVUQSBjb250ZW50PSJNU0hUTUwgNi4wMC42MDAwLjE2NzA1IiBuYW1lPUdFTkVSQVRPUj4NCjxTVFlMRT48L1NUWUxFPg0KPC9IRUFEPg0KPEJPRFkgYmdDb2
15、xvcj0jZmZmZmZmPg0KPERJVj48Rk9OVCBzaXplPTI+aGVsbG8hPC9GT05UPjwvRElWPg0KPERJVj48Rk9OVCBzaXplPTI+VGhpcyBpcyBhIHRlc3QgbWFpbCE8L0ZPTlQ+PC9ESVY+PC9CT0RZPjwvSFRNTD4NCg=-=_NextPart_000_0189_01C91E51.9760AF50-.-发送 DELE 1发送成功!+OK core mail-发送 QUIT发送成功!+OK core mail步骤三:编辑一个 POP3报文1、在主机上打开协议数据发生器,在工具栏上选择“添加” ,会
16、弹出“网络包模版” 对话框,选择“POP3 协议模版 ”,建立一个 POP3数据报文:190QQ邮件订阅 http:/U 5- 92 建立 POP3 协议报文2、填写其中以太网帧头、 IP首部、TCP首部和 POP3 报文的内容:z 填写以太网协议首部信息:目的物理地址:在地址本中选择实验室网关的 IP地址(例如:192.168.1.1),确认后自动填入网关的 MAC地址:00-D0-F8-B5-24-8F;源物理地址:在地址本中选择实验主机(例如: 192.168.1.2),确认后自动填入实验主机的 MAC地址:02-00-4C-4F-4F-50;类型或长度:该字段应为 0800(即 IP协
17、议的类型值)。z 填写 IP 协议头信息:总长度字段:包括 TCP段内容的总长度, 20 IP+20 TCP+19 POP3 = 59;高层协议字段:即上层协议类型为 6(TCP协议的类型为 6);发送 IP 地址:在地址本中选择实验主机的 IP地址,确认后自动填入主机的 IP地址 192.168.1.2;目标 IP 地址:手工填写 POP3服务器的 IP 地址:202.108.5.100;点击工具栏中的“校验和” 按钮计算 IP头校验和。z 填写 TCP协议的各个字段信息:16位源端口号:任意大于 1024的数;16位目的端口号:25;32位序号:选择一个序号(例如: 19425898);3
18、2位确认序号:设置为 0;首部长度:首部长度设为 5,即长度为 20字节;标志位:标志位设为 2,即标志位 SYN=1;窗口大小:任意,例如填入 32768;紧急指针:0;校验和:点击工具栏中的 “校验和” 按钮计算 TCP校验和(覆盖 TCP首部(包含伪首部)和 TCP 数据两部分,计 算方法同 UDP协议一样)。191博客地址 http:/ 5、填写 POP3 协议报 文的内容:可填入 POP3 的常用命令及参数,例如: USER 2008.test.star。最终的编辑结果如图 5- 93所示:图 5- 93 编辑 POP3 协议报文的内容3、点击工具栏上的 “发送” 按钮,将 编辑好的 POP3数据报文发送,可设置循环发送。4、在实验主机上运行网络协议分析仪,捕获数据,捕获结果如图 5- 94所示,其中可以清晰地看到,这个 TCP报文的标志位是 SYN,里面携带的 POP3 报文,具体的 POP3命令及参数是 USER 2008.test.star:图 5- 94 捕获编辑的 POP3 协议报文192QQ邮件订阅 http:/U POP3 协议 的传输报文中,是否有携 带帐号、密码的报文?2、通过实验说明你的电子邮件在网络上传输是安全的吗?为什么?如果不安全,你认为实现邮件安全传输的最好的办法是什么?193
