日期:2012-01-16  浏览次数:20486 次

    仔细观察截获的httptunnel数据包,可以发现紧跟着三次握手完成后的第一个数据包包含着一个POST动作,是由htc(client端)发送到hts(server端)的。如下: 14:55:39.128908 client.yiming.com.51767 > server.yiming.com.80: S 3521931836:3521931836(0) win 8760  (DF)
0x0000   4500 002c d3cc 4000 fb06 53c9 xxxx xxxx        E..,..@...S..f.#
0x0010   yyyy yyyy ca37 0050 d1ec 6a3c 0000 0000        .f.D.7.P..j<....
0x0020   6002 2238 1708 0000 0204 05b4 0000             `."8..........
14:55:39.128945 server.yiming.com.80 > client.yiming.com.51767: S 2946004964:2946004964(0) ack 3521931837 win 8760  (DF)
0x0000   4500 002c cb85 4000 ff06 5810 yyyy yyyy        E..,..@...X..f.D
0x0010   xxxx xxxx 0050 ca37 af98 77e4 d1ec 6a3d        .f.#.P.7..w...j=
0x0020   6012 2238 ef79 0000 0204 05b4                  `."8.y......
14:55:39.131002 client.yiming.com.51767 > server.yiming.com.80: . ack 1 win 8760 (DF)
0x0000   4500 0028 d3cd 4000 fb06 53cc xxxx xxxx        E..(..@...S..f.#
0x0010   yyyy yyyy ca37 0050 d1ec 6a3d af98 77e5        .f.D.7.P..j=..w.
0x0020   5010 2238 0737 0000 0000 0000 0000             P."8.7........
14:55:39.132841 server.yiming.com.80 > client.yiming.com.51767: . ack 44 win 8760 (DF)
0x0000   4500 0028 cb86 4000 ff06 5813 yyyy yyyy        E..(..@...X..f.D
0x0010   xxxx xxxx 0050 ca37 af98 77e5 d1ec 6a68        .f.#.P.7..w...jh
0x0020   5010 2238 070c 0000                            P."8....
14:55:39.132860 client.yiming.com.51767 > server.yiming.com.80: P 1:44(43) ack 1 win 8760 (DF)
0x0000   4500 0053 d3ce 4000 fb06 53a0 xxxx xxxx        E..S..@...S..f.#
0x0010   yyyy yyyy ca37 0050 d1ec 6a3d af98 77e5        .f.D.7.P..j=..w.
0x0020   5018 2238 d23a 0000 504f 5354 202f 696e        P."8.:..POST./in
0x0030   6465 782e 6874 6d6c 3f63 7261 703d 3130        dex.html?crap=10
0x0040   3037 3838 3034 3836 2048 5454 502f 312e        07880486.HTTP/1.
0x0050   310d 0a                                        1..
                                    1..




看起来是发送client端的数据包到server端的,那么server有什么反应呢?我们往下看,在上面这个过程完成后,htc和hts又发生了一次握手(注意,又一次握手),如下:
14:55:39.134301 client.yiming.com.51768 > server.yiming.com.80: S 2851199448:2851199448(0) win 8760  (DF)
0x0000   4500 002c d3df 4000 fb06 53b6 xxxx xxxx        E..,..@...S..