确定 HTTP 数据包

Question

您好，

如何从使用 Sharppcap 捕获的数据包中确定数据包是否是 http 数据包？

我们能否确定 frpm TCP 数据包是否是 HTTP？

Answer 1

根据 rfc2616 - 超文本传输​​协议 - HTTP/1.1：

HTTP 消息的版本由消息第一行中的 HTTP-Version 字段指示

因此，您可以检查数据包并扫描消息标头中的 HTTP 版本文本和/或 HTTP 协议的其他已知字段。虽然如果一条消息被分成多个数据包，此方法可能不是 100% 准确，但它可能足够好，至少作为第一次切割。

Answer 2

我是 sharppcap/packet.net 的作者/维护者。

我有一些执行 tcp 重组和 http 解析的类，这些类在复杂的网络监控应用程序中用于识别和跟踪 http 会话。这些都经过了充分的单元测试并得到了很好的评论。

它们可用于二进制或源代码级别的许可。

编辑：为什么投票否决？开发代码和测试花费了数百个小时，这是一个已被重用的解决方案。在重新实现相同的功能之前，这当然值得考虑。

Answer 3

听起来您正在查看单个 TCP 片段。如果它来自消息的开头，那么它的第一行将有一个 HTTP 版本，但如果您只是从网络上随机提取数据包并希望能够知道它们是 HTTP，那么您就不走运了- TCP 片段中没有任何内容表明其中的内容。唯一了解的方法就是查看整个对话。