QQ数据包分析.pptVIP

QQ皮肤修改器下载 /soft/59707.html/ wenku1 Instant Messaging(IM)即时通讯是一个终端服务，允许两人或多人使用网络即时的传递文字讯息、档案、语音与视频交流 最早的即时通讯软件是ICQ（I Seek You ），四名以色列青年于1996年7月成立Mirabilis公司，并在11月份发布了最初的ICQ版本。 QQ：当前中国最流行的即时通讯软件。 1998年11月12曰，马化腾和他大学同学成立“深圳市腾讯计算机系统有限公司”。 截至2009年07月QQ注册人数超过9亿，同时在线人数达3000万（/51bye/blog/item/c120be399c49e3f13b87ce24.html ） 我们需要自己的中文网络软件，我们需要自己的ICQ！ QQ版本: Tencent QQ2009SP5 QQ号码：871174960 工具： wireshark_0978，QQ_Debuger 平台：windows7旗舰版 物理层 运输层 数据链路层 网络层 应用层 数据 抓包可以看到它们在不同的层次。Internet从下到上依次是物理层、数据链路层、网络层、运输层、应用层。 QQ使用的应用层协议是OICQ 网卡地址段0000 00 23 54 51 72 28 00 b0 2c 2c 97 d4 如上可所视00 23 到第一行的08 00为网卡地址段。开始的六个字节00 23 54 51 72 28为本机（对方服务器)网 络适配器的物理地址， 00 b0 2c 2c 97 d4这六个字节代表对方服务器（本机）网卡的物理地址。然后的08表示该数据传输协议将用TCP/IP协议传输。00表示下面将用TCP/IP协议中的IP协议传输。 如图：45 00 到00 17之间的代码都代表了IP段的内容。45代表此IP协议版本是4.0版本,IP字段长度是20字节。00 是代表IP包的优先级，这里是平常的没有设等级。 006b转换成十进制是107,表示此数据包的所有数据有107个字节。00 00代表IP协议的身份验证，36传表IP数据包的生存时间。11这里很重要，表示此IP数据段完成以后将由UPD协议来 代替，由此我们可以得知OICQ消息传播是通过UDP协议来实现的。0dff是用来校检数据包的正确性的。3a fb 3a c9 代表源地址（此处为服务器地址）, c0 a8 00 17 c0 代有目的地址（此处为我的地址），这说明其为一个返回数据包。至此，IP 数据段就完成，余下的就是UDP数据段了 1F 40（8000）代表腾讯的OICQ主机是通过哪个端口发送（接收）消息 ，0F A0（4000）代表我是通过哪个端口进行接收（发送）消息的 4000。00 57代表此UDP数据段的 总的字节是87。50 05是拿来校检UDP数据段的数据。剩下的部分便是令人期待的数据字段了… TCPF 协议基本结构为：[头部][QQ版本号][指令][包序号][数据][尾部]。客户端和服务器端往返的数据均符合这一结构 DATA为加密数据段，下面就要迎来更加激动人心的时刻了，解密该数据段… 使用工具：QQ_Debuger QQ 协议加密使用的算法是TEA加密算法，其密钥为16字节 注释：此实验失败（讲时消去此注释 以下数据为参考资料） 红色部分说明校验和错误，数据可能没有正确的到达目的端 为何使用UDP？ UDP是不可靠传输协议，设计初衷就是尽可能快的将数据包发送出去 结构精简：最小为8个字节，因而结构较简单，适合一次传输较少的信息。 对系统资源要求较少：UDP协议比TCP协议消耗较少的CPU时间，相比而言 产生一个TCP连接和发送一个UDP包而言，TCP的开销很大，这在服务器端更加明显。  可靠性：UDP协议没有连接的过程，有丢包现象。QQ就使用UDP发消息，因此有时会出现收不到消息的情况。 安全性：UDP协议由于不采用可靠传递和序列号认证，容易仿冒 通信量：可能使通信数据量增大：由于UDP协议对数据包不保证对方接收到，OICQ采用每一秒钟左右反复发送的方法， 在判断超时之前，将反复发送十次以上。如果对方不能被你直接访问，由OICQ产生的数据量将是你谈话内容的十倍以上的通信量。  此实验失败 * 此实验失败 *