新浪微博抓包分析

新浪微博抓包分析

摘要：数据包捕获及分析主要实现了对网络上的数据包进行捕获及分析。在包分析功能模块，根据报文协议的格式，把抓到的包进行解析，从而得到网络层和传输层协议的报头内容等信息。本次研究通过对新浪微博的网络数据包进行捕捉，分析数据包的结构，从而掌握数据包捕获和数据包分析的相关知识。

关键词：包分析；协议；数据包

1序言

本实验研究通过技术手段捕获数据包并加以分析。Ether Peek5.1是当前较为流行的图形用户接口的抓包软件,是一个可以用来监视所有在网络上被传送的包,并分析其内容的程序。它通常被用来检查网络工作情况,或是用来发现网络程序的bugs。通过Ether Peek对TCP、SMTP和FTP等常用协议进行分析,非常有助于网络故障修复、分析以及软件和协议开发。计算机网络安全、信息安全已经成为一个国际性的问题，每年全球因计算机网络的安全问题而造成的经济损失高达数百亿美元，且这个数字正在不断增加。网络数据包的捕获与分析对研究计算机网络安全问题有着重要意义。网络安全问题既包括网络系统的安全，又包括网络信息的安全和机密性。

2抓包工具介绍及抓包原理

2.1工具介绍

目前常用的抓包工具有Sniffer，wireshark，WinNetCap，WinSock Expert，EtherPeek等。本次实验研究是在windows XP系统环境下安装EtherPeek进行抓包。EtherPeek是个用来截取网络数据包的工具，主要用监听统计和捕获数据包两种方式进行网络分析。它只能截取同一HUB的包，也就是说假如你的便携装了EtherPeek，那么你的便携必须与你要监控的目的地址和源地址中的一个接在同一HUB上。有了这个工具，如果5250仿真或telnet仿真出了问题，就可以用它来截取数据包，保存下来，再进行分析。

2.2数据包捕获原理

在通常情况下，网络通信的套接字程序只能响应与自己硬件地址相匹配的或

是以广播形式发出的数据帧，对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法收取与自己无关的的数据包。所以我们要想实现截获流经网络设备的所有数据包，就要采取一点特别的手段了：将网卡设置为混杂模式。这样一来，该主机的网卡就可以捕获到所有流经其网卡的数据包和帧。但是要注意一点，这种截获仅仅是数据包的一份拷贝，而不能对其进行截断，要想截断网络流量就要采用一些更底层的办法。

3新浪微博数据包捕获和分析

3.1微博登录状态分析

在实验正式开始之前，在本机上配置好实验环境，之后启动EhterPeek5.1软件，点击“Start Capture”开始抓包，通过搜狗浏览器主页点击新浪微博客户端,打开登录页面。见图1.1

图1.1新浪微博登录页面

易知，新浪微博使用HTTP协议进行通信，客户端主机的IP为10.4.23.25。第210数据包检验客户端Ping Server IP是否可达，第211数据包显示Server返回Reply，此数据包说明网络是通畅的（图1.2）。Ping是个使用频率极高的实用程序，用于确定本地主机是否能与另一台主机交换（发送与接收）数据报。根据返回的信息，我们就可以推断TCP/IP参数是否设置得正确以及运行是否正常。需要注意的是：成功地与另一台主机进行一次或两次数据报交换并不表示TCP/IP配置就是正确的，我们必须执行大量的本地主机与远程主机的数据报交换，才能确信TCP/IP的正确性。

图1.2Ping

打开新浪微博客户端时，进行了域名解析，客户机发出请求解析域名

的报文，本地的域名服务器收到请求后，查询本地缓存，假设没有该纪录,则本地域名服务器10.1.12.10向根域名服务器发出请求解析域名 。根域名服务器收到请求后查询本地记录，同时给出的地址,并将结果返回给本地域名服务器10.1.12.10。域名服务器10.1.12.10收到回应后,再发出请求解析域名的报文。域名服务器收到请求后,开始查询本地的记录，并将最终结果返回给客户本地域名服务器10.1.12.10。解析新浪微博的IP地址为61.172.207.223，如下图1.3所示。

图1.3

输入账号1351803513@ 和密码******后，登录到我的个人微博。第407条数据包显示客户端发送Get请求sina地址，登录相关页面，第415、416、418、419条数据显示被请求方找到资源并且信息返回成功，第415条数据中具体显示Http返回的信息：Status 200，Reason OK等，如图1.4、1.5、1.6所示。

图1.4

图1.5

图1.6

3.2发布微博状态分析

用户发送一条内容为“1110101”的微博，如图2.1。第3315条数据（所使用数据包与3.2节中的数据包不同）显示客户端发送POST请求发送微博，第3316条数据中包含微博正文信息。

图2.1

由对应的数据记录可知：HTTP获取信息，数据中还标明了具体的统一资源标示符URI。URI、URL和URN的概念比较容易混淆。URI，是uniform resource identifier，统一资源标识符，用来唯一的标识一个资源。而URL是uniform resource locator，统一资源定位器，它是一种具体的URI，即URL可以用来标识一个资源，而且还指明了如何locate这个资源。而URN，uniform resource name，统一资源命名，是通过名字来标识资源。也就是说，URI是以一种抽象的，高层次概念定义统一资源标识，而URL和URN则是具体的资源标识的方式，URL和URN 都是一种URI。

该数据条中还显示了HTTP的版本信息，所使用HTTP的版本为HTTP/1.1。Referer: /u/2129438573/home?wvr=5 ..，此条记录说明了引用来源，即来源于我的个人微博地址，或者说是由上述地址链接过来的。见图2.2、2.3。

图2.2

图2.3

TCP/IP协议中有个重要的三次握手协议也能在抓获的数据包中体现（见图2.4）。所谓的“三握手”，即对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步，根据所接收到的数据量而确定的数据确认数及数据发送、接