QQ数据包分析
1、实验内容:
分析QQ数据包协议EthernetIPTCPUDPDNSHTTP等,按层详细分析数据包工作机制和各协议数据组成及功能作用。
2、实验环境:
Window 7环境下、QQ2014
3、实验工具:
QQ2014Ethereal抓包工具、Wiresshark抓包工具
4、实验内容
  1QQ登录数据包分析
    利用Wireshark抓包工具的过滤规则OICQ对于qq登录的第一条登录信息进行截取分析
  首先我们通过对第一条信息的截图我们可以看到信息
1、帧的信息:
该数据帧的帧号为 :37     
帧的大小:648 bits   
数据接口:interface 0
到达时间:Mar  9, 2015 14:57:07.546829000 中国标准时间
帧所用到的协议eth  ethertype  ip  udp  oicq
2、好qq号数据链路层帧eth
以太网帧首部大小:14个字节
目的地址:Dst:  AsustekC_60:5e:44 (14:da:e9:60:5e:44),
源地址:Src:  DigitalC_02:f6:fe (00:03:0f:02:f6:fe)
类型字段0800
字段类型IP
3、网络层协议IP
Ip数据报首部长度:20字节
版本号4,目前使用为IPV4
首部长度20字节
区分服务00
总长度67字节
标识0x5c5c (23644)
标志0x00
片偏移0个单位
生存时间64,表明的是这个数据报之前没有经过路由结点
协议UDP17
头部检验和0x1b3c [validation disabled]
IP地址192.168.83.9 (192.168.83.9)
目的地址183.60.56.36 (183.60.56.36)
4、用户数据协议UDP
源端口52185 (52185)
目的端口8000 (8000) 表明目的端使用的应用层的协议是变更OICQ默认通讯端口
数据长度47
    检验和0xac29 [validation disabled]
  5OICQ协议
标志OICQ 数据包
版本0x3559
命令: Request KEY (29)
序列号3137
数据发送端号码:OICQ数字,935692234
数据:封装无法查看
2qq离线文件的传输分析:
    1、选取原则:
根据发送文件的时间段,因为网速延迟的原因我们可以看到选取的时间段会有所误差,
截图的原则:1、利用抓包工具的过滤机制选取HTTP协议段(qq离线文件是以HTTP协议传送的)(如下图)
    2、选取与发送时间段相近的数据帧(如下图)
    3qq离线文件的选取:发送端关键字为POST/,接收端为GET/(如下图)
   
 
2、帧的信息
该数据帧的帧号为 :2707   
帧的大小:7768 bits   
数据接口:interface 0 (\Device\NPF_{95B244F7-56E0-42EA-83AC-B199A0F94798})
到达时间:Mar  9, 2015 14:57:34.046219000 中国标准时间
染显示规则字符串: http || tcp.port == 80 || http2  TCP端口号为80
帧所用到的协议eth: ethertype: ip: tcp :http: media
3、链路层帧eth与网络层协议ip数据分析与上相同
注:此时的内部数据为TCP数据段
4、传输层协议TCP
源端口:80
目的端口:38458
流索引:114
TCP信息段长:917
序列号:5814(相对序列号)
下一个序列号:6758
确认号:386(相对确认号)
首部长度:20字节
标志:.... 0000 0001 1000 = Flags: 0x018 (PSH, ACK)
窗口大小:15544
检验和:0x3b17 [validation disabled]
紧急指针:0
5个重新整合的TCP报文段:
编号#2702(1460bytes) 编号#2701(1460bytes)编号#2704(1460bytes)
编号#2705(1460bytes) 编号#2707(1460bytes)
重组TCP报文长度:6757 bytes
reassemble tcp segment:表示TCP层收到上层大块报文后分解成段后发出去。于是有个疑问,TCP层完全可以把大段报文丢给IP层,让IP层完成分段,为什么要在TCP层分呢? 其实这个是由TCPMSS(Maximum Segment Size,最大报文段长度)决定的,TCP在发起连接的第一个报文的TCP头里通过MSS这个可选项告知对方本端能够接收的最大报文(当然,这个大小是TCP净荷的大小),以太网上这个值一般设置成1460,因为1460Byte净荷+20Byte TCP+20Byte IP 1500字节,正好符合链路层最大报文的要求
5、超文本传送协议HTTP
Post地址ftn_handler?bmd5=bcf6e336a34e6c18014291fbaf1ff4fb HTTP/1.1\r\n
User-Agent:qq客户端
主机:182.140.183.73
连接:持续作用
连接字段长度:613
3、其他数据的分析:
  1、本主机的qq号码固定为37 c5 87 ca
2、qq数据的固定载荷是以“02”开始,以“03”结束。虽然其载荷不能被解读,但是携带着一些信息
  3、qq传输数据的各种形式: