今日學習目標（3 項）

理解 TCP/IP（4 層模型）與封包建立流程（SYN→SYN/ACK→ACK）。

看懂 HTTP Request / Response 的基本結構（method、URL、headers、body）。

會用基本命令抓封包（tcpdump）並讀懂一個簡單的 HTTP 封包。

要讀的重點（快速筆記）

TCP：可靠、連線導向，三次握手 (SYN, SYN/ACK, ACK)，有序傳輸與重傳機制。

IP：負責路由與分段，無連線、不保證可靠性（IPv4 header 基本欄位：src/dst） 。

HTTP（應用層）：常見 method：GET、POST；response status：200、404、500；headers 決定協議行為（Content-Type、Cookie、Host）。

DNS：把域名解析成 IP（A、AAAA、CNAME），通常使用 UDP（查不到時會改 TCP）。

今日實作任務（步驟）

在終端執行：docker run --rm -p 3000:3000 bkimminich/juice-shop（若還沒），或對你剛測試過的本地網站做以下操作。

在另一個終端執行（需 sudo 或 root）：

sudo tcpdump -i lo port 3000 -w day3.pcap

然後在瀏覽器打開 http://localhost:3000 做一次搜尋或載入頁面，之後 CTRL+C 停止 tcpdump。
轉成可讀格式（tshark 或 tcpdump -A）：

tshark -r day3.pcap -V -Y "http" > http_packet.txt

打開 http_packet.txt 找到一個 HTTP GET 的封包，截圖或複製第一個 Request/Response 區段（至少包含 request line 與 headers）。

把截圖或內容貼回來，並完成下面交付物。
你可以直接貼給 AI 的 prompt（複製貼上）

我剛抓到一個 HTTP 封包（貼上你抓到的 request/response 原始內容或 tcpdump/tshark 輸出）。請用繁體中文幫我：
1) 標出 request line、重要 headers（Host, User-Agent, Cookie, Content-Type）、以及 response 的 status line 和 Content-Type；
2) 簡要說明這個 request 的目的與 server 可能的回應行為；
3) 給 3 個我可以用來做進一步分析或檢測的步驟（例如查看特定 header、試用不同 method、搜尋 suspicious cookie）。

範例：簡單 HTTP Request（供你比對）

GET /search?q=xss HTTP/1.1
Host: localhost:3000
User-Agent: Mozilla/5.0 (example)
Accept: text/html
Cookie: session=abcd1234

Response 範例：

HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Content-Length: 4521

今天完成 Day 3：學習 TCP/IP 三次握手、HTTP 請求結構與 DNS 基礎，並用 tcpdump 抓封包實作解析。實操讓我能快速辨識 Host、Cookie、Content-Type，並學會用 curl 重放請求檢測 XSS。明天計畫用 AI 幫我標註封包重點並做進一步分析。