《wireshark抓QQ包》由会员分享,可在线阅读,更多相关《wireshark抓QQ包(4页珍藏版)》请在金锄头文库上搜索。
1、 wireshark抓QQ包并分析由于系统原因设置不了热点,不能抓微信的包,所以抓QQ包。打开wireshark软件,选择本地连接,如下图:1、 过滤QQ包点击start,登录QQ,输入oicq进行过滤QQ包,找到第一个oicq,点击后点击oicq-IM software,可以看到自己登录的QQ号码为776435946,command中貌似是登录过程中的密码验证,总共有两个(最开始的两个)oicq中用到request key(29),因为本机ip=49.140.171.84,所以第一个是从本机发送到目的地ip=123.151.47.86的,第二个是从服务器返回来的。二、分析数据报协议这是UDP
2、协议部分的信息,destination port=irdmi (8000),这在国内主要是QQ使用的端口号。Irdmi表示为QQ聊天软件,长度为67字节,检验和显示为验证禁用,不能验证。3、 分析以太网(数据链路层)说明此包是以太网版本2,源地址是Fujianst_15:63:35(00:1a:a9:15:63:35),说明了路由器厂商是福建的一个厂商。目的地址是InterCor_a9:4a:5c(00:26:c6:a9:4a:5c),说明网卡是inter生产的。内封装的是IP数据。4、 QQ传输数据是加密的在第一个oicq上右键中选择follow UDP stream,可以看到:追踪该UDP
3、流可以看出,这些信息是加密的,需要知道加密算法才能破解。五、数据传输顺序可以看到ip长度为67(ox0043),与下面的物理层传输的最终形式(16进制)一样。00在前,43在后,说明进行网络传输的时候是先传输高位再传输低位,即高字节数据在低地址,低字节数据在高地址。 六、找到QQ数据中的其他包 加上oicq过滤QQ包以后可能有一些包没观察到,但是不过滤的话包太多,因为电脑上运行了很多东西,即使什么也不运行也有包,甚至我把网线拔了还有包,此处无解。经过多次尝试可以找到一个比较合适的方法,如下: 除去过滤设置oicq,点击enter,找到第一个oicq(这样可以找到相应的地方),可以看到它的前面还有5个跟QQ有关的包(端口号中有irdmi)。点击开各层协议,跟前面的差不多,没有分析出什么有用的。
