QQ数据包分析
1、实验内容:
分析QQ数据包
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
:Ethernet、IP、TCP、UDP、DNS、HTTP等,按层详细分析数据包工作机制和各协议数据组成及功能作用。
2、实验环境:
Window 7环境下、QQ2014
3、实验工具:
QQ2014、Ethereal抓包工具、Wiresshark抓包工具
4、实验内容
1、QQ登录数据包分析
利用Wireshark抓包工具的过滤
规则
编码规则下载淘宝规则下载天猫规则下载麻将竞赛规则pdf麻将竞赛规则pdf
OICQ对于qq登录的第一条登录信息进行截取分析
首先我们通过对第一条信息的截图我们可以看到信息
1、帧的信息:
该数据帧的帧号为 :37
帧的大小:648 bits
数据接口:interface 0
到达时间:Mar 9, 2015 14:57:07.546829000 中国标准时间
帧所用到的协议: eth ethertype ip udp oicq
2、数据链路层帧(eth):
以太网帧首部大小:14个字节
目的地址:Dst: AsustekC_60:5e:44 (14:da:e9:60:5e:44),
源地址:Src: DigitalC_02:f6:fe (00:03:0f:02:f6:fe)
类型字段:0800
字段类型:IP
3、网络层协议IP
Ip数据报首部长度:20字节
版本号:4,目前使用为IPV4
首部长度:20字节
区分服务:00
总长度:67字节
标识:0x5c5c (23644)
标志:0x00
片偏移:0个单位
生存时间:64,表明的是这个数据报之前没有经过路由结点
协议:UDP(17)
头部检验和:0x1b3c [validation disabled]
源IP地址:192.168.83.9 (192.168.83.9)
目的地址:183.60.56.36 (183.60.56.36)
4、用户数据协议UDP
源端口:52185 (52185)
目的端口:8000 (8000) 表明目的端使用的应用层的协议是变更OICQ默认通讯端口
数据长度:47
检验和:0xac29 [validation disabled]
5、OICQ协议
标志:OICQ 数据包
版本:0x3559
命令: Request KEY (29)
序列号:3137
数据发送端号码:OICQ数字,935692234
数据:封装无法查看
2、qq离线文件的传输分析:
1、选取原则:
根据发送文件的时间段,因为网速延迟的原因我们可以看到选取的时间段会有所误差,
截图的原则:1、利用抓包工具的过滤机制选取HTTP协议段(qq离线文件是以HTTP协议传送的)(如下图)
2、选取与发送时间段相近的数据帧(如下图)
3、qq离线文件的选取:发送端关键字为POST/,接收端为GET/(如下图)
2、帧的信息
该数据帧的帧号为 :2707
帧的大小:7768 bits
数据接口:interface 0 (\Device\NPF_{95B244F7-56E0-42EA-83AC-B199A0F94798})
到达时间:Mar 9, 2015 14:57:34.046219000 中国标准时间
染色显示规则字符串: http || tcp.port == 80 || http2 TCP端口号为80
帧所用到的协议: eth: ethertype: ip: tcp :http: media
3、链路层帧eth与网络层协议ip数据分析与上相同
注:此时的内部数据为TCP数据段
4、传输层协议TCP
源端口:80
目的端口:38458
流索引:114
TCP信息段长:917
序列号:5814(相对序列号)
下一个序列号:6758
确认号:386(相对确认号)
首部长度:20字节
标志:.... 0000 0001 1000 = Flags: 0x018 (PSH, ACK)
窗口大小:15544
检验和:0x3b17 [validation disabled]
紧急指针:0
5个重新整合的TCP报文段:
编号#2702(1460bytes) 编号#2701(1460bytes)编号#2704(1460bytes)
编号#2705(1460bytes) 编号#2707(1460bytes)
重组TCP报文长度:6757 bytes
reassemble tcp segment:表示TCP层收到上层大块报文后分解成段后发出去。于是有个疑问,TCP层完全可以把大段报文丢给IP层,让IP层完成分段,为什么要在TCP层分呢? 其实这个是由TCP的MSS(Maximum Segment Size,最大报文段长度)决定的,TCP在发起连接的第一个报文的TCP头里通过MSS这个可选项告知对方本端能够接收的最大报文(当然,这个大小是TCP净荷的大小),以太网上这个值一般设置成1460,因为1460Byte净荷+20Byte TCP头+20Byte IP头 = 1500字节,正好符合链路层最大报文的要求。
5、超文本传送协议HTTP
Post地址:ftn_handler?bmd5=bcf6e336a34e6c18014291fbaf1ff4fb HTTP/1.1\r\n
User-Agent:qq客户端
主机:182.140.183.73
连接:持续作用
连接字段长度:613
3、其他数据的分析:
1、本主机的qq号码固定为37 c5 87 ca
2、qq数据的固定载荷是以“02”开始,以“03”结束。虽然其载荷不能被解读,但是携带着一些信息。
3、qq传输数据的各种形式:
浙公网安备 33021202002483