《wireshark抓QQ包》由会员分享,可在线阅读,更多相关《wireshark抓QQ包(4页珍藏版)》请在金锄头文库上搜索。
1、 wireshark 抓 QQ 包并分析由于系统原因设置不了热点,不能抓微信的包,所以抓 QQ 包。打开 wireshark 软件,选择本地连接,如下图:1、过滤 QQ 包点击 start,登录 QQ,输入 oicq 进行过滤 QQ 包,找到第一个 oicq,点击后点击 oicq-IM software,可以看到自己登录的 QQ 号码为 776435946,command 中貌似是登录过程中的密码验证,总共有两个(最开始的两个)oicq 中用到request key(29),因为本机 ip=49.140.171.84,所以第一个是从本机发送到目的地ip=123.151.47.86 的,第二个是
2、从服务器返回来的。二、分析数据报协议这是 UDP 协议部分的信息,destination port=irdmi (8000),这在国内主要是 QQ 使用的端口号。 Irdmi 表示为 QQ 聊天软件,长度为 67 字节,检验和显示为验证禁用,不能验证。3、分析以太网(数据链路层)说明此包是以太网版本 2,源地址是Fujianst_15:63:35(00:1a:a9:15:63:35),说明了路由器厂商是福建的一个厂商。目的地址是 InterCor_a9:4a:5c(00:26:c6:a9:4a:5c),说明网卡是inter 生产的。内封装的是 IP 数据。4、QQ 传输数据是加密的在第一个 o
3、icq 上右键中选择 follow UDP stream,可以看到:追踪该 UDP 流可以看出,这些信息是加密的,需要知道加密算法才能破解。五、数据传输顺序可以看到 ip 长度为 67(ox0043) ,与下面的物理层传输的最终形式(16 进制)一样。00 在前,43 在后,说明进行网络传输的时候是先传输高位再传输低位,即高字节数据在低地址,低字节数据在高地址。六、找到 QQ 数据中的其他包加上 oicq 过滤 QQ 包以后可能有一些包没观察到,但是不过滤的话包太多,因为电脑上运行了很多东西,即使什么也不运行也有包,甚至我把网线拔了还有包,此处无解。经过多次尝试可以找到一个比较合适的方法,如下:除去过滤设置 oicq,点击 enter,找到第一个 oicq(这样可以找到相应的地方),可以看到它的前面还有 5 个跟 QQ 有关的包(端口号中有 irdmi) 。点击开各层协议,跟前面的差不多,没有分析出什么有用的。
