新浪微博抓包分析摘要：數(shù)據(jù)包捕獲及分析主要實現(xiàn)了對網(wǎng)絡(luò)上的數(shù)據(jù)包進行捕獲及分析。在包分析功能模塊，根據(jù)報文協(xié)議的格式，把抓到的包進行解析，從而得到網(wǎng)絡(luò)層和傳輸層協(xié)議的報頭內(nèi)容等信息。本次研究通過對新浪微博的網(wǎng)絡(luò)數(shù)據(jù)包進行捕捉，分析數(shù)據(jù)包的結(jié)構(gòu)，從而掌握數(shù)據(jù)包捕獲和數(shù)據(jù)包分析的相關(guān)知識。關(guān)鍵詞：包分析；協(xié)議；數(shù)據(jù)包1序言本實驗研究通過技術(shù)手段捕獲數(shù)據(jù)包并加以分析。EtherPeek5.1是當(dāng)前較為流行的圖形用戶接口的抓包軟件,是一個可以用來監(jiān)視所有在網(wǎng)絡(luò)上被傳送的包,并分析其內(nèi)容的程序。它通常被用來檢查網(wǎng)絡(luò)工作情況,或是用來發(fā)現(xiàn)網(wǎng)絡(luò)程序的bugs。通過EtherPeek對TCP、SMTP和FTP等常用協(xié)議進行分析,非常有助于網(wǎng)絡(luò)故障修復(fù)、分析以及軟件和協(xié)議開發(fā)。計算機網(wǎng)絡(luò)安全、信息安全已經(jīng)成為一個國際性的問題，每年全球因計算機網(wǎng)絡(luò)的安全問題而造成的經(jīng)濟損失高達數(shù)百億美元，且這個數(shù)字正在不斷增加。網(wǎng)絡(luò)數(shù)據(jù)包的捕獲與分析對研究計算機網(wǎng)絡(luò)安全問題有著重要意義。網(wǎng)絡(luò)安全問題既包括網(wǎng)絡(luò)系統(tǒng)的安全，又包括網(wǎng)絡(luò)信息的安全和機密性。2抓包工具介紹及抓包原理2.1工具介紹目前常用的抓包工具有Sniffer，wireshark，WinNetCap，WinSockExpert，EtherPeek等。本次實驗研究是在windowsXP系統(tǒng)環(huán)境下安裝EtherPeek進行抓包。EtherPeek是個用來截取網(wǎng)絡(luò)數(shù)據(jù)包的工具，主要用監(jiān)聽統(tǒng)計和捕獲數(shù)據(jù)包兩種方式進行網(wǎng)絡(luò)分析。它只能截取同一HUB的包，也就是說假如你的便攜裝了EtherPeek，那么你的便攜必須與你要監(jiān)控的目的地址和源地址中的一個接在同一HUB上。有了這個工具，如果5250仿真或telnet仿真出了問題，就可以用它來截取數(shù)據(jù)包，保存下來，再進行分析。2.2數(shù)據(jù)包捕獲原理在通常情況下，網(wǎng)絡(luò)通信的套接字程序只能響應(yīng)與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對于其他形式的數(shù)據(jù)幀比如已到達網(wǎng)絡(luò)接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡(luò)接口在驗證投遞地址并非自身地址之后將不引起響應(yīng)，也就是說應(yīng)用程序無法收取與自己無關(guān)的的數(shù)據(jù)包。所以我們要想實現(xiàn)截獲流經(jīng)網(wǎng)絡(luò)設(shè)備的所有數(shù)據(jù)包，就要采取一點特別的手段了：將網(wǎng)卡設(shè)置為混雜模式。這樣一來，該主機的網(wǎng)卡就可以捕獲到所有流經(jīng)其網(wǎng)卡的數(shù)據(jù)包和幀。但是要注意一點，這種截獲僅僅是數(shù)據(jù)包的一份拷貝，而不能對其進行截斷，要想截斷網(wǎng)絡(luò)流量就要采用一些更底層的辦法。3新浪微博數(shù)據(jù)包捕獲和分析3.1微博登錄狀態(tài)分析在實驗正式開始之前，在本機上配置好實驗環(huán)境，之后啟動EhterPeek5.1軟件，點擊“StartCapture”開始抓包，通過搜狗瀏覽器主頁點擊新浪微博客戶端,打開登錄頁面。見圖1.1圖1.1新浪微博登錄頁面易知，新浪微博使用HTTP協(xié)議進行通信，客戶端主機的IP為5。第210數(shù)據(jù)包檢驗客戶端PingServerIP是否可達，第211數(shù)據(jù)包顯示Server返回Reply，此數(shù)據(jù)包說明網(wǎng)絡(luò)是通暢的（圖1.2）。Ping是個使用頻率極高的實用程序，用于確定本地主機是否能與另一臺主機交換（發(fā)送與接收）數(shù)據(jù)報。根據(jù)返回的信息，我們就可以推斷TCP/IP參數(shù)是否設(shè)置得正確以及運行是否正常。需要注意的是：成功地與另一臺主機進行一次或兩次數(shù)據(jù)報交換并不表示TCP/IP配置就是正確的，我們必須執(zhí)行大量的本地主機與遠程主機的數(shù)據(jù)報交換，才能確信TCP/IP的正確性。圖1.2Ping打開新浪微博客戶端時，進行了域名解析，客戶機發(fā)出請求解析域名的報文，本地的域名服務(wù)器收到請求后，查詢本地緩存，假設(shè)沒有該紀錄,則本地域名服務(wù)器0向根域名服務(wù)器發(fā)出請求解析域名。根域名服務(wù)器NS.INTER.NET收到請求后查詢本地記錄，同時給出的地址,并將結(jié)果返回給本地域名服務(wù)器0。域名服務(wù)器0收到回應(yīng)后,再發(fā)出請求解析域名的報文。域名服務(wù)器收到請求后,開始查詢本地的記錄，并將最終結(jié)果返回給客戶本地域名服務(wù)器0。解析新浪微博的IP地址為23，如下圖1.3所示。圖1.3輸入賬號1351803513@和密碼******后，登錄到我的個人微博。第407條數(shù)據(jù)包顯示客戶端發(fā)送Get請求sina地址，登錄相關(guān)頁面，第415、416、418、419條數(shù)據(jù)顯示被請求方找到資源并且信息返回成功，第415條數(shù)據(jù)中具體顯示Http返回的信息：Status200，ReasonOK等，如圖1.4、1.5、1.6所示。圖1.4圖1.5圖1.63.2發(fā)布微博狀態(tài)分析用戶發(fā)送一條內(nèi)容為“1110101”的微博，如圖2.1。第3315條數(shù)據(jù)（所使用數(shù)據(jù)包與3.2節(jié)中的數(shù)據(jù)包不同）顯示客戶端發(fā)送POST請求發(fā)送微博，第3316條數(shù)據(jù)中包含微博正文信息。圖2.1由對應(yīng)的數(shù)據(jù)記錄可知：HTTP獲取信息，數(shù)據(jù)中還標明了具體的統(tǒng)一資源標示符URI。URI、URL和URN的概念比較容易混淆。URI，是uniformresourceidentifier，統(tǒng)一資源標識符，用來唯一的標識一個資源。而URL是uniformresourcelocator，統(tǒng)一資源定位器，它是一種具體的URI，即URL可以用來標識一個資源，而且還指明了如何locate這個資源。而URN，uniformresourcename，統(tǒng)一資源命名，是通過名字來標識資源。也就是說，URI是以一種抽象的，高層次概念定義統(tǒng)一資源標識，而URL和URN則是具體的資源標識的方式，URL和URN都是一種URI。該數(shù)據(jù)條中還顯示了HTTP的版本信息，所使用HTTP的版本為HTTP/1.1。Referer:/u/2129438573/home?wvr=5<CR><LF>..，此條記錄說明了引用來源，即來源于我的個人微博地址，或者說是由上述地址鏈接過來的。見圖2.2、2.3。圖2.2圖2.3TCP/IP協(xié)議中有個重要的三次握手協(xié)議也能在抓獲的數(shù)據(jù)包中體現(xiàn)（見圖2.4）。所謂的“三握手”，即對每次發(fā)送的數(shù)據(jù)量是怎樣跟蹤進行協(xié)商使數(shù)據(jù)段的發(fā)送和接收同步，根據(jù)所接收到的數(shù)據(jù)量而確定的數(shù)據(jù)確認數(shù)及數(shù)據(jù)發(fā)送、接收完畢后何時撤消聯(lián)系，并建立虛連接。為了提供可靠的傳送，TCP在發(fā)送新的數(shù)據(jù)之前，以特定的順序?qū)?shù)據(jù)包的序號，并需要這些包傳送給目標機之后的確認消息。TCP總是用來發(fā)送大批量的數(shù)據(jù)。當(dāng)應(yīng)用程序在收到數(shù)據(jù)后要做出確認時也要用到TCP。由于TCP需要時刻跟蹤，這需要額外開銷，使得TCP的格式有些顯得復(fù)雜。TCP握手協(xié)議在TCP/IP協(xié)議中，TCP協(xié)議提供可靠的連接服務(wù)，采用三次握手建立一個連接。第1168條數(shù)據(jù)顯示第一次握手，主機A發(fā)送位碼為syn＝1,隨機產(chǎn)生數(shù)據(jù)包到服務(wù)器，主機B由SYN=1知道，A要求建立聯(lián)機，可知源地址為23，目的地址為3，源端口號是1350，目的端口號是80，序列號為1337113962，確認號為0。第1186、1187條分別是第三、第四次握手。體細節(jié)見圖2.5—2.7。圖2.4圖2.5圖2.6圖2.74結(jié)束語本文較詳細地描述了如何用抓包工具對網(wǎng)絡(luò)上的數(shù)據(jù)包進行捕獲及分析。即首先通過EtherPeek5.1抓包工具把經(jīng)過主機網(wǎng)卡的數(shù)據(jù)包截獲，并存儲在緩沖存儲器中，然后選取研究所需要的數(shù)據(jù)逐一研究分析。對網(wǎng)絡(luò)抓包分析研究的重要性在于，管理員能借助通信過程中的消息傳遞來監(jiān)控網(wǎng)絡(luò)，判斷網(wǎng)絡(luò)問題，維護網(wǎng)絡(luò)安全，對幫助管理網(wǎng)絡(luò)區(qū)域有重要意義。本次實驗，通過親自動手安裝抓包工具、抓包、選取數(shù)據(jù)包、分析數(shù)據(jù)包到最后把成果撰寫成文，掌握了抓包軟件的基本用法，學(xué)會了一般報文段的解讀，對報文段的方法字段有了一定的認識。雖然花費的時間和精力較多，但著實讓我收獲不少。將課本中的理論知識運用實踐當(dāng)中，更讓我加深了對網(wǎng)絡(luò)知識的理解，特別是TCP協(xié)議中的三次握手協(xié)議和DNS域名解析，原本已經(jīng)對它們的概念比較模糊，現(xiàn)在鞏固了相關(guān)知識點，并且記憶深刻。在今后的學(xué)習(xí)中，我們也不該拘泥于書本，將知識運用于實踐才能發(fā)揮知識本身的作用，并幫助我們更加深刻地理解與記憶?！敖^知此事要躬行”，大概說的就是這個道理。參考文獻[1]祝瑞,車敏.基于HTTP協(xié)議的服務(wù)器程序分析[J].現(xiàn)代電子技術(shù),2012,04:117-119+122.[2]朱晶.TCP協(xié)議簡述與三次握手原理解析[J].電腦知識與技術(shù),2009,05:1079-1080.[3]彭沙沙,張紅梅,卞東亮.計算機網(wǎng)絡(luò)安全分析研究[J].現(xiàn)代電子術(shù),2012,04:109-112+116.[4]耿奎,黃雪琴.基