新浪微博抓包分析
摘要：数据包捕获及分析主要实现了对网络上的数据包进行捕获及分析。

在包分析功能模块，根据报文协议的格式，把抓到的包进行解析，从而得到网络层和传输层协议的报头内容等信息。

本次研究通过对新浪微博的网络数据包进行捕捉，分析数据包的结构，从而掌握数据包捕获和数据包分析的相关知识。

关键词：包分析；协议；数据包
1序言
本实验研究通过技术手段捕获数据包并加以分析。

Ether Peek5.1是当前较为流行的图形用户接口的抓包软件,是一个可以用来监视所有在网络上被传送的包,并分析其内容的程序。

它通常被用来检查网络工作情况,或是用来发现网络程序的bugs。

通过Ether Peek对TCP、SMTP和FTP等常用协议进行分析,非常有助于网络故障修复、分析以及软件和协议开发。

计算机网络安全、信息安全已经成为一个国际性的问题，每年全球因计算机网络的安全问题而造成的经济损失高达数百亿美元，且这个数字正在不断增加。

网络数据包的捕获与分析对研究计算机网络安全问题有着重要意义。

网络安全问题既包括网络系统的安全，又包括网络信息的安全和机密性。

2抓包工具介绍及抓包原理
2.1工具介绍
目前常用的抓包工具有Sniffer，wireshark，WinNetCap，WinSock Expert，EtherPeek等。

本次实验研究是在windows XP系统环境下安装EtherPeek进行抓包。

EtherPeek是个用来截取网络数据包的工具，主要用监听统计和捕获数据包两种方式进行网络分析。

它只能截取同一HUB的包，也就是说假如你的便携装了EtherPeek，那么你的便携必须与你要监控的目的地址和源地址中的一个接在同一HUB上。

有了这个工具，如果5250仿真或telnet仿真出了问题，就可以用它来截取数据包，保存下来，再进行分析。

2.2数据包捕获原理
在通常情况下，网络通信的套接字程序只能响应与自己硬件地址相匹配的或
是以广播形式发出的数据帧，对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法收取与自己无关的的数据包。

所以我们要想实现截获流经网络设备的所有数据包，就要采取一点特别的手段了：将网卡设置为混杂模式。

这样一来，该主机的网卡就可以捕获到所有流经其网卡的数据包和帧。

但是要注意一点，这种截获仅仅是数据包的一份拷贝，而不能对其进行截断，要想截断网络流量就要采用一些更底层的办法。

3新浪微博数据包捕获和分析
3.1微博登录状态分析
在实验正式开始之前，在本机上配置好实验环境，之后启动EhterPeek5.1软件，点击“Start Capture”开始抓包，通过搜狗浏览器主页点击新浪微博客户端,打开登录页面。

见图1.1
图1.1新浪微博登录页面
易知，新浪微博使用HTTP协议进行通信，客户端主机的IP为10.4.23.25。

第210数据包检验客户端Ping Server IP是否可达，第211数据包显示Server返回Reply，此数据包说明网络是通畅的（图1.2）。

Ping是个使用频率极高的实用程序，用于确定本地主机是否能与另一台主机交换（发送与接收）数据报。

根据返回的信息，我们就可以推断TCP/IP参数是否设置得正确以及运行是否正常。

需要注意的是：成功地与另一台主机进行一次或两次数据报交换并不表示TCP/IP配置就是正确的，我们必须执行大量的本地主机与远程主机的数据报交换，才能确信TCP/IP的正确性。

图1.2Ping
打开新浪微博客户端时，进行了域名解析，客户机发出请求解析域名
的报文，本地的域名服务器收到请求后，查询本地缓存，假设没有该纪录,则本地域名服务器10.1.12.10向根域名服务器发出请求解析域名 。

根域名服务器收到请求后查询本地记录，同时给出的地址,并将结果返回给本地域名服务器10.1.12.10。

域名服务器10.1.12.10收到回应后,再发出请求解析域名的报文。

域名服务器收到请求后,开始查询本地的记录，并将最终结果返回给客户本地域名服务器10.1.12.10。

解析新浪微博的IP地址为61.172.207.223，如下图1.3所示。

图1.3
输入账号1351803513@ 和密码******后，登录到我的个人微博。

第407条数据包显示客户端发送Get请求sina地址，登录相关页面，第415、416、418、419条数据显示被请求方找到资源并且信息返回成功，第415条数据中具体显示Http返回的信息：Status 200，Reason OK等，如图1.4、1.5、1.6所示。

图1.4
图1.5
图1.6
3.2发布微博状态分析
用户发送一条内容为“1110101”的微博，如图2.1。

第3315条数据（所使用数据包与3.2节中的数据包不同）显示客户端发送POST请求发送微博，第3316条数据中包含微博正文信息。

图2.1
由对应的数据记录可知：HTTP获取信息，数据中还标明了具体的统一资源标示符URI。

URI、URL和URN的概念比较容易混淆。

URI，是uniform resource identifier，统一资源标识符，用来唯一的标识一个资源。

而URL是uniform resource locator，统一资源定位器，它是一种具体的URI，即URL可以用来标识一个资源，而且还指明了如何locate这个资源。

而URN，uniform resource name，统一资源命名，是通过名字来标识资源。

也就是说，URI是以一种抽象的，高层次概念定义统一资源标识，而URL和URN则是具体的资源标识的方式，URL和URN 都是一种URI。

该数据条中还显示了HTTP的版本信息，所使用HTTP的版本为HTTP/1.1。

Referer: /u/2129438573/home?wvr=5 <CR> <LF> ..，此条记录说明了引用来源，即来源于我的个人微博地址，或者说是由上述地址链接过来的。

见图2.2、2.3。

图2.2
图2.3
TCP/IP协议中有个重要的三次握手协议也能在抓获的数据包中体现（见图2.4）。

所谓的“三握手”，即对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步，根据所接收到的数据量而确定的数据确认数及数据发送、接
收完毕后何时撤消联系，并建立虚连接。

为了提供可靠的传送，TCP在发送新的数据之前，以特定的顺序将数据包的序号，并需要这些包传送给目标机之后的确认消息。

TCP总是用来发送大批量的数据。

当应用程序在收到数据后要做出确认时也要用到TCP。

由于TCP需要时刻跟踪，这需要额外开销，使得TCP的格式有些显得复杂。

TCP握手协议在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。

第1168条数据显示第一次握手，主机A发送位码为syn＝1,随机产生数据包到服务器，主机B由SYN=1知道，A要求建立联机，可知源地址为10.5.5.123，目的地址为115.238.190.43，源端口号是1350，目的端口号是80，序列号为1337113962，确认号为0。

第1186、1187条分别是第三、第四次握手。

体细节见图2.5—2.7。

图2.4
图2.5
图2.6
图2.7
4结束语
本文较详细地描述了如何用抓包工具对网络上的数据包进行捕获及分析。

即首先通过EtherPeek5.1抓包工具把经过主机网卡的数据包截获，并存储在缓冲存储器中，然后选取研究所需要的数据逐一研究分析。

对网络抓包分析研究的重要性在于，管理员能借助通信过程中的消息传递来监控网络，判断网络问题，维护网络安全，对帮助管理网络区域有重要意义。

本次实验，通过亲自动手安装抓包工具、抓包、选取数据包、分析数据包到最后把成果撰写成文，掌握了抓包软件的基本用法，学会了一般报文段的解读，对报文段的方法字段有了一定的认识。

虽然花费的时间和精力较多，但着实让我收获不少。

将课本中的理论知识运用实践当中，更让我加深了对网络知识的理解，特别是TCP协议中的三次握手协议和DNS域名解析，原本已经对它们的概念比较模糊，现在巩固了相关知识点，并且记忆深刻。

在今后的学习中，我们也不该拘泥于书本，将知识运用于实践才能发挥知识本身的作用，并帮助我们更加深刻地理解与记忆。

“绝知此事要躬行”，大概说的就是这个道理。

参考文献
[1]祝瑞,车敏.基于HTTP协议的服务器程序分析[J].现代电子技术,2012,04:117-119+122.
[2]朱晶.TCP协议简述与三次握手原理解析[J].电脑知识与技术,2009,05:1079-1080.
[3]彭沙沙,张红梅,卞东亮.计算机网络安全分析研究[J].现代电子术,2012,04:109-112+116.
[4]耿奎,黄雪琴.基于软件构建网络协议分析实验平台[J].数字技术与应用,2011,04:131-133.
[5]闫丽丽,昌燕,周兴涛.网络数据包捕获机制研究[J].微计算机信息,2007,09:43-45.
[6]戴宏伟.基于协议分析的入侵检测技术研究[D].中南大学,2007.
[7]胡云峰.Web数据抓包分析及C/S模式数据提交研究[J].文山学院学报,2011,03:59-61+71.。