oicq协议分析通过Wireshark分析QQ软件的行为

《oicq协议分析通过Wireshark分析QQ软件的行为》由会员分享，可在线阅读，更多相关《oicq协议分析通过Wireshark分析QQ软件的行为（3页珍藏版）》请在装配图网上搜索。

1、oicq协议分析_通过Wireshark分析QQ软件的行为作为网络从业者，平时抓包的工作还是挺多的，今天分享一个比较有趣的小实验，通过抓包来分析QQ软件的行为实验环境：* Wireshark最新版* Windows7* TIM正文打开Wireshark软件婀i劇谊；簫$锁I獅I述：蹴MJT騎Hi90|無社崔*瀬2一般是本地连接双击即可輸恵递嘔诱訐HJ?；rUfJ-：MfJiWIJ；4MJ；斩41&MXMfJ-i*4*JI5Dme1討1和叩rlBQ半5码inWWWli.rtKwtnR；JV*冋审kT.tiHJIiAkr.ie*2J.I!IJMA2.injaoM9fWA鼻如,T呻界iir*4Dj*

2、invidj*W4IE鼻5卑卓iVJl.”0l：riW-mAjd.HwKHCJtio鼻5曲鼻妙中“MMk-_H.n-:iM-VWCJIE*WHKE列鼻独.TH剂1*3W-.JiiiM-.H-lITMiwa#;:iarviMJPCWrir-TMnwIBM*.A-r-T4feB.-rkJLH-I-KWh.j厢M1L4M也叶1中K4十诃呼n!Uli!i!-*JMTN?霽:亠曲站山1、MWLgII-*：.M-hr-1:gWMMjhlUv.*11：.,曲3,bhihLnZ由Efl时皿：failll,-Mk.1:沖：def-碑灯*处：打开后示意图:whH-ri!fa打开QQ/TIM，并筛选QQ的协议(oi

3、cq)-*3卿畀曲:iLUrw:峠.rP-tw3-!iir-:斤rt:I0我一直觉得腾讯非常高调，原因如下图322B367496310.247.IM,251226.245,245.15J145OICQPrctOCDl3221S216.7567522r24?.5-15313.2A?.198.251mcQieiorcqPrctOD掘ZL921&.7567S2229.24.25.15310.247.198.251oicc161OICQPrttccsl32220216.75676222&r249.25.15310.247.198.251010；161OtCQPrctocolFrsneStby:&son

4、(643bits81bytcap：ured(643bl:a)oninTarfacsDa/lcEthernetIL,Src:HuaweiTe_39:41：g926:6e:c4:39:41:99),Dst:I-rF-VP-VSIOfi脯;強活eCInternetPctocolVersion4,Src:247.1%.251Ost：22.24S.ls3OKQ-IHsc-fhrfijpop丄占rirna分析一些包的细节辺理即钛&4和弭10加.隊期,249.2453QKQ8：ai：3ptccsl卫1刊：】&閑24肚10一24J3E.S1：2eJ4J53曲迎Si0I2JPriitcofll321科訂.64%

5、M10.24?WE.251：26彩久迩1分血Q皤OK?Prfltccal321瞄H&66耐利述2.245.1ien7.19J510Kfltdccl326932171S3JId.247.148.25122fi.249.245.15301CQStoiptrtoccl32&94217.1924410.247.39.25t220.249.245.153oicq81OICQrotoccl32639217.2110.347.194.2Sl226.249.245.153OKQlitOltQProtocolEthernetII5%：Huwd电脚询E;99(28:fie：44：5?:41：99)j伽t;ETF-

6、F?-VK:Dec(0e：ee：$e：$0：n：cGTFT-U1Ir/fLu.s.itErnetProtocaliersicnSrr:lEJ-US.J1RD?t：220.24-245.1EZiJserDctcraisPratDoai,SrcPort:购帥$DstPots8000*)CQ-1Mcrthra-EpcLlarinthinaFl-ag:Mtqpcket(0:rotci3221221.744962W.247,198.2512?Q.24SJ,153C1CQ3：011电rxrtEtol3221J216.744963lS.i47-I98.25122e.249J45.15301CQ34501(?

7、322B2U.752S48Id.247,198.J5L22.249*245.153CKQ89OICQrtrttcol3222&216.7627C519.247.398J51220.2.2.153OKQ就傀32.2262佩極弭ieB2-47,198.251229.249.245,153g125oicqrotccol3222721t.75231719.247,198.51229.249,245.153gicqsiMqrotcc&l3222821G753E2410.247-198.2512.249.245AS3CICQ81OICQrotccol327292-li/7i314419,247,198.2

8、5122e.249J45.liJcicq117OltQ3PDt)C(!olEthtrn&LII,Sr,.3st:IETF-VRRP-VF.IV6(30；筑；魁：脑:竝；吃iIrternetrotccoiV-rsicr丨Sr：jIEJiT.145.251,&st:J23J4$.24S.153LserPatsjramPwzonJSrcPort:睚岛Dsi二迅：卿咄止GKQIMsoftreSDpulfirinCiiraFlag:Oicqpacket00?)Wwdwn卫nJSijhg注销账号疋區瞅Swufru-FL02B93staCUC0Nu-berjfsenderisclient):15688969

9、32疋函213.446939SM6lit39333012LS.B4435i0.247ai3.25110,247495,3：10.247.193.251229.M乳甜5153滋2曲邸巧3230曲久ML1裁CICQOICQGICQ阳OMQJratDCDl39fnstMal矜OMQProtiKDl；S327!13.afqufncct11233加t刎如实如龙ml*处啦er魅.：li?ht：i：】蓟89垂阳Dati!ExpertInfo(Uaming.iUndecKec)：Trslllsjstraydiaactrsl9310.274.25：ZM.W.445-453|mgW如tgFratocal55228

10、3S229213.3*?3K,M7P13,25110.247.19：L251.230.243,1阳泅科乳2船1囂OICQ畀即gFrcWcDl打如逹FrctDCDlEthernetII,S-c:加时的dl:时：:絶:岀:肿:脱洛外.BitI；EfRRP我ID_吋朋:旋:血:S0:BL:呱)贰P瞅*沁Vtrdcr4.Src：ta,iiM.2513虫十鮒网羽UserCartagrMPrutucol5fcPtrts4W,DstFart:8303j03(-JMEoFar-iijppuJarinCilns耳爼M住(MbZowund:随uig学i：M：苑quH昶:忑7iMtatOICQMLH|faErijl

11、lFsemlerisclient):坊538蛉93-曲詁爾电说担吒斑引Marr$/lideE：li?川Trailinjstracharacters厩田5e幻SIM耳Ee閃BS亂99軀BE死00(n；l接收消息33珂沖紳骐1TdbcDs尸店牡(k殆，5h卜，接收消息Bf訴廿邮8P2f単76睨滋二5征打50*Dvf-EEE695&F2M肚EEEEE0St2m91邮GE世kqaKSthe.44(342灘24.5-155丽可796.2訂二iCiCQj7#VI-Ii/Lif-MX12?oicqptMoiLOICCPfDtKalm010(ProtxalEtl-emefeEl,Src:（加:瑚血仙:的：圧乳

12、Os:HueiTe_B9:4L卩別Ge:圉:；砂虹:蚪）Irtemet打軒加况Veraipi4Srt：12吐卅鼻曲515：.,Dec:：1A対丁.$二血Usr加射霑加Prxitew界心P。峠二桂0直*P-ort：4鶴4J0KQ-I那$胪tiriir引popul旷in升佃w订齐Oicqparks-诃朋J眈h柯i闢0曲286e弗$941e73汩&8脾疥命LF4B吋获取朋友列表.：.3d95Is1-X写在最后囲&33&11囲5F的的訴44311?西B:磺阴冊45何爲M輪3815901铳骑17铀6B關id胡47a7F3cBb?9f2bc9(n-A-A*小小K-COSHZ-A-.1；+LOflrtdnc!-GetEti.usol-friend(12j由于每个软件的通信过程摆脱不了TCP/IP协议栈，因此抓包能看到一些状态的包，平时在业务出现异常的时候通过抓包还是可以看出一些端倪的，上面的案例我们其实可以分析出腾讯的oicq是基于UDP传输的，所以就会有网络不佳发送消息失败的情况，虽然QQ在软件层面做了一些可靠性的优化，但UDP始终还是不可靠的传输协议。另外抓包的时候我们并没有抓到用户登录的信息，只是一个请求KEY的过程，所以QQ在安全系数还是比较高的（这里是指没有中毒啥的），大家也可以去做其他实验看看我们的软件究竟安不安全。