计算机网络qq抓包分析

实验三 网络数据包的捕获与分析一、实验目的和要求通过本次实验，了解sniffer 的基本作用，并能通过sniffer 对指定的网络行为所产生的数据包进行抓取，并分析所抓取的数据包。

二、实验内容A ：1、首先打开sniffer 软件，对所要监听的网卡进行选择2、选择网卡按确定后，进入sniffer 工作主界面，对主界面上的操作按钮加以熟悉。

B ：设置捕获条件进行抓包基本的捕获条件有两种：1、链路层捕获，按源MAC 和目的MAC 地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。

2、IP 层捕获，按源IP 和目的IP 进行捕获。

输入方式为点间隔方式，如：10.107.1.1。

如果选择IP 层捕获条件则ARP 等报文将被过滤掉。

链任意捕获条件编辑协议捕获编辑缓冲区编辑基本捕获条件路层捕获IP 层捕获数据流方向链路层捕获地址条件高级捕获条件在“Advance ”页面下，你可以编辑你的协议捕获条件，如图：选择要捕获的协议捕获帧长度条件错误帧是否捕获保存过滤规则条件高级捕获条件编辑图在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。

在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。

在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。

在保存过滤规则条件按钮“Profiles”，你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。

C：捕获报文的察看：Sniffer软件提供了强大的分析能力和解码功能。

如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

专家分析系统专家分析系统捕获报文的图形分析捕获报文的其他统计信息专家分析专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

如何进行网络数据包分析和抓包网络数据包分析和抓包是网络安全和网络调试中非常重要的技能。

通过对网络数据包的深入分析和抓取，我们可以了解网络通信的细节，识别出潜在的安全威胁，解决网络故障，提高网络性能。

本文将介绍如何进行网络数据包分析和抓包的基本知识、常用工具和实际操作过程。

一、网络数据包分析的基本知识1. 什么是网络数据包网络数据包是在计算机网络中传输的基本单位。

它包含了源地址、目标地址、协议类型、数据内容等信息。

通过分析数据包的头部和负载部分，我们可以了解网络通信的详细过程。

2. 数据包分析的目的数据包分析的目的是为了了解网络通信中存在的问题，如安全漏洞、传输错误、性能瓶颈等。

通过分析数据包，我们可以检测恶意攻击、监测网络流量、优化网络性能，并提供证据用于网络调查等。

二、常用的网络数据包分析工具1. WiresharkWireshark是一款功能强大的开源网络分析工具，支持多种操作系统平台。

它可以捕获和分析网络数据包，并提供详细的统计信息、过滤器和可视化功能，帮助我们深入了解数据包的结构和内容。

2. tcpdumptcpdump是一款命令行网络抓包工具，适用于Unix/Linux操作系统。

它可以捕获网络接口上的数据包，并以文本形式输出。

tcpdump可以通过设置过滤规则过滤数据包，提供更灵活的抓包方式。

三、进行网络数据包分析和抓包的步骤以下是进行网络数据包分析和抓包的一般步骤，具体操作可根据实际情况调整。

1. 准备必要的工具和环境首先，确保已安装合适的网络数据包分析工具，如Wireshark或tcpdump。

同时，保证工作环境的网络连接正常，并具备足够的权限进行抓包和分析操作。

2. 选择抓包的目标根据需要，确定抓包的目标。

可以是整个网络流量，也可以是特定的IP地址、端口或协议。

这有助于提高分析效果，节约存储空间。

3. 开始抓包使用选择的工具开始抓包。

可以设置过滤器，只抓取感兴趣的数据包。

抓包期间，可以进行其他相关操作，如执行特定应用程序、浏览网页等，以增加抓取的数据多样性。

QQ数据包分析1、实验内容：分析QQ数据包协议：Ethernet、IP、TCP、UDP、DNS、HTTP 等，按层详细分析数据包工作机制和各协议数据组成及功能作用。

2、实验环境：Window 7环境下、QQ20143、实验工具：QQ2014、Ethereal抓包工具、Wiresshark抓包工具4、实验内容1、QQ登录数据包分析①利用Wireshark抓包工具的过滤规则OICQ对于qq登录的第一条登录信息进行截取分析②首先我们通过对第一条信息的截图我们可以看到信息1、帧的信息：该数据帧的帧号为：37帧的大小：648 bits数据接口：interface 0到达时间：Mar 9, 2015 14:57:07.546829000 中国标准时间帧所用到的协议：eth ethertype ip udp oicq2、数据链路层帧（eth）：以太网帧首部大小：14个字节目的地址：Dst: AsustekC_60:5e:44 (14:da:e9:60:5e:44),源地址：Src:DigitalC_02:f6:fe (00:03:0f:02:f6:fe)类型字段：0800字段类型：IP3、网络层协议IPIp数据报首部长度：20字节版本号：4，目前使用为IPV4首部长度：20字节区分服务：00总长度：67字节标识：0x5c5c (23644)标志：0x00片偏移：0个单位生存时间：64，表明的是这个数据报之前没有经过路由结点协议：UDP（17）头部检验和：0x1b3c [validation disabled]源IP地址：192.168.83.9 (192.168.83.9)目的地址：183.60.56.36 (183.60.56.36)4、用户数据协议UDP源端口：52185 (52185)目的端口：8000 (8000) 表明目的端使用的应用层的协议是变更OICQ默认通讯端口数据长度：47检验和：0xac29 [validation disabled]5、OICQ协议标志：OICQ 数据包版本：0x3559命令: Request KEY (29)序列号：3137数据发送端号码：OICQ数字，935692234数据：封装无法查看22、帧的信息该数据帧的帧号为：2707帧的大小：7768 bits数据接口：interface 0 (\Device\NPF_{95B244F7-56E0-42EA-83AC-B199A0F94798})到达时间：Mar 9, 2015 14:57:34.046219000 中国标准时间染色显示规则字符串: http || tcp.port == 80 || http2 TCP端口号为80帧所用到的协议：eth: ethertype: ip: tcp :http: media3、链路层帧eth与网络层协议ip数据分析与上相同注：此时的内部数据为TCP数据段4、传输层协议TCP源端口：80目的端口：38458流索引：114TCP信息段长：917序列号：5814（相对序列号）下一个序列号：6758确认号：386（相对确认号）首部长度：20字节标志：.... 0000 0001 1000 = Flags: 0x018 (PSH, ACK)窗口大小：15544检验和：0x3b17 [validation disabled]紧急指针：05个重新整合的TCP报文段：编号#2702（1460bytes）编号#2701（1460bytes）编号#2704（1460bytes）编号#2705（1460bytes）编号#2707（1460bytes）重组TCP报文长度：6757 bytesreassemble tcp segment：表示TCP层收到上层大块报文后分解成段后发出去。

OICQ服务器系统通讯协议说明OICQ服务器系统通讯协议说明：协议由报文头(T)+发送者(T)+接收者(T)+报文类型（T）+报文长度(L)+报文内容组成发送者和接收者是系统内的程序种类,OICQ服务器0x01,传真服务器0x02,WEB服务器0x03,打印服务器是0x04,聊天服务器是0x05,OICQ用户是0x0A。

OICQ用户到OICQ服务器的通讯协议引导符（0x81+0x0A+0x01）报文类型报文内容报文说明0x01昵称（S）+肖像（M）+用户密码（S）+性别（T）+年龄（T）+真实姓名（S）+国家/地区（T）+省（T）+市（S）+地址（S）+邮编（S）+学历（T）+毕业院校（S）+职业（T）+电话（S）+寻呼（S）+电邮（S）+爱好（S）+说明（S）+身份验证（T）新用户注册，身份验证用于当有人要将他加入好友时询问是否允许0x02服务号（L）+密码（S）+注册方式（T）老用户注册，方式分为0正常，1隐身0x03服务号（L）+对方服务号（L）+内容（S）发送信息到某人0x04服务号（L）+组号（L）+内容（S）广播信息，组号=0为全体0x05服务号（L）+朋友服务号（L）查看朋友资料0x06服务号（L）+组名称（S）增加组0x07服务号（L）+组编号（T）+组名称（S）修改组名称0x08服务号（L）+组编号（T）删除组0x09服务号（L）+移动人数（T）+{朋友服务号（L）+目的组号（T）}移动组成员0x0a服务号（L）+起始编号(L)+回传个数（T）+查找标志(T)看谁在线上查找标志1=向小找2=向大找0x0b服务号（L）+SQL语句（S）自定义查找0x0c服务号（L）+朋友服务号（L）增加好友0x0d服务号（L）+朋友服务号（L）+加入原因（S）请求加入好友0x0e服务号（L）+朋友服务号（L）删除好友0x10服务号（L）+显示模式（T）更改显示方式1上线2隐藏3免打扰4离线0x11服务号（L）+监视服务号（L）监视某人谈话0x12服务号（L）+昵称（S）+肖像（M）+用户密码（S）+性别（T）+年龄（T）+真实姓名（S）+国家/地区（T）+省（T）+市（S）+地址（S）+邮编（S）+学历（T）+毕业院校（S）+职业（T）+电话（S）+寻呼（S）+电邮（S）+爱好（S）+说明（S）+身份验证（T）更改用户基本信息0x13服务号(L)+朋友服务号（L）+文件名(S)+文件长度(L)请求发送文件0x14服务号（L）+朋友服务号（L）+允许/拒绝是否允许发送文件0x15服务号（L）+朋友服务号（L）+文件内容（B）发送文件0x16服务号（L）连接测试报文0x17服务号（L）+朋友服务号（L）+同意标志(T)应答对方请求加入好友0=拒绝1=同意OICQ服务器到OICQ的通讯协议报文类型报文内容报文说明0x01成功/失败（T）+服务号（L）新用户注册结果返回0x02成功/失败（T）+组个数（T）+{组名称（S）+组编号（T）+朋友个数（T）+{朋友服务号（L）+肖像编号（T）+朋友状态(T)+朋友昵称（S）}老用户注册结果返回朋友状态1=上线=2隐藏=3免打扰4离线0x03标志(T)+朋友服务号（L）+信息（S）+信息类型（T）标志1=系统2=用户发送消息，服务号=0是系统消息1=用户某某已经把你加为好友2=用户某某请求你通过身份验证3=用户某某同意了你的验证要求4=用户某某拒绝了你的验证请求0x04成功/失败（T）+朋友服务号(L)+昵称（S）+肖像（M）+性别（T）+年龄（T）+真实姓名（S）+国家/地区（T）+省（T）+市（S）+地址（S）+邮编（S）+学历（T）+毕业院校（S）+职业（T）+电话（S）+寻呼（S）+电邮（S）+爱好（S）+说明（S）朋友信息回送0x05成功/失败（T）+组编号（T）+组名称（S）增加组结果回送1/00x06成功/失败（T）+组编号（T）+组名称（S）修改组名称结果回送1/00x07成功/失败（T）+组编号（T）删除组结果回送1/00x08成功/失败（T）移动组成员结果回送1/00x09成功/失败（T）+在线个数（T）+{服务号（L）+昵称（S）+肖像（M）+省（T）+市（S）}查找在线人员结果回送0x0a成功/失败（T）+找到个数（T）+{服务号（L）+昵称（S）+肖像（M）+省（T）+市（S）}自定义查找结果回送（最多50）0x0b标志（T）+朋友服务号（L）增加好友结果回送标志0=数据库失败=1成功=2需要身份验证=3对方不允许加入=4需要身份验证且不在线0x0c朋友服务号(L)+昵称（S）+肖像号（M）+朋友状态(T)给在线用户增加好友0x0e成功/失败（T）+朋友服务号（L）删除好友结果回送0x10服务号（L）+显示模式（T）显示模式回送=1上线=2隐藏=3免打扰4离线0x11成功/失败更改用户基本信息结果回送0x12朋友服务号（L）+文件名（S）+文件长度（L）请求发送文件0x13朋友服务号（L）+允许/拒绝是否允许发送文件1允许0拒绝0x14朋友服务号（L）+文件内容（B）发送文件0x15朋友服务号（L）+当前状态（T）朋友状态回送（系统发送）=1上线=2隐藏=3免打扰4离线0x16服务号（L）连接测试本篇文章来源于中国协议分析网| 原文链接：/Class/OtherAnalysis/200408/621.htmlOICQ数据抓包示例详解TCP/IP协议是整个互联网上数据传输的核心，OICQ也是基于TCP/IP协议的UDP协议来实现的。

QQ数据包分析一、实验内容：分析QQ数据包协议：Ethernet、IP、TCP、UDP、DNS、HTTP 等，按层详细分析数据包工作机制和各协议数据组成及功能作用。

二、实验环境：Window 7环境下、QQ2014三、实验工具：QQ2014、Ethereal抓包工具、Wiresshark抓包工具四、实验内容1、QQ登录数据包分析①利用Wireshark抓包工具的过滤规则OICQ对于qq登录的第一条登录信息进行截取分析②首先我们通过对第一条信息的截图我们可以看到信息1、帧的信息：该数据帧的帧号为：37帧的大小：648 bits数据接口：interface 0到达时间：Mar 9, 2015 14:57:07.546829000 中国标准时间帧所用到的协议：eth ethertype ip udp oicq2、数据链路层帧（eth）：以太网帧首部大小：14个字节目的地址：Dst: AsustekC_60:5e:44 (14:da:e9:60:5e:44),源地址：Src:DigitalC_02:f6:fe (00:03:0f:02:f6:fe)类型字段：0800字段类型：IP3、网络层协议IPIp数据报首部长度：20字节版本号：4，目前使用为IPV4首部长度：20字节区分服务：00总长度：67字节标识：0x5c5c (23644)标志：0x00片偏移：0个单位生存时间：64，表明的是这个数据报之前没有经过路由结点协议：UDP（17）头部检验和：0x1b3c [validation disabled]源IP地址：192.168.83.9 (192.168.83.9)目的地址：183.60.56.36 (183.60.56.36)4、用户数据协议UDP源端口：52185 (52185)目的端口：8000 (8000) 表明目的端使用的应用层的协议是变更OICQ默认通讯端口数据长度：47检验和：0xac29 [validation disabled]5、OICQ协议标志：OICQ 数据包版本：0x3559命令: Request KEY (29)序列号：3137数据发送端号码：OICQ数字，935692234数据：封装无法查看2、qq离线文件的传输分析：1、选取原则：根据发送文件的时间段，因为网速延迟的原因我们可以看到选取的时间段会有所误差，截图的原则：1、利用抓包工具的过滤机制选取HTTP协议段（qq 离线文件是以HTTP协议传送的）(如下图)2、选取与发送时间段相近的数据帧（如下图）3、qq离线文件的选取：发送端关键字为POST/,接收端为GET/（如下图）2、帧的信息该数据帧的帧号为：2707帧的大小：7768 bits数据接口：interface 0 (\Device\NPF_{95B244F7-56E0-42EA-83AC-B199A0F94798}) 到达时间：Mar 9, 2015 14:57:34.046219000 中国标准时间染色显示规则字符串: http || tcp.port == 80 || http2 TCP端口号为80帧所用到的协议：eth: ethertype: ip: tcp :http: media3、链路层帧eth与网络层协议ip数据分析与上相同注：此时的内部数据为TCP数据段4、传输层协议TCP源端口：80目的端口：38458流索引：114TCP信息段长：917序列号：5814（相对序列号）下一个序列号：6758确认号：386（相对确认号）首部长度：20字节标志：.... 0000 0001 1000 = Flags: 0x018 (PSH, ACK)窗口大小：15544检验和：0x3b17 [validation disabled]紧急指针：05个重新整合的TCP报文段：编号#2702（1460bytes）编号#2701（1460bytes）编号#2704（1460bytes）编号#2705（1460bytes）编号#2707（1460bytes）重组TCP报文长度：6757 bytesreassemble tcp segment：表示TCP层收到上层大块报文后分解成段后发出去。

wireshark抓QQ包并分析由于系统原因设置不了热点，不能抓微信的包，所以抓QQ包。

打开wireshark软件，选择本地连接，如下图：一、过滤QQ包点击start,登录QQ，输入oicq进行过滤QQ包，找到第一个oicq，点击后点击oicq-IM software，可以看到自己登录的QQ号码为776435946，command中貌似是登录过程中的密码验证，总共有两个（最开始的两个）oicq中用到request key（29）,因为本机ip=49.140.171.84，所以第一个是从本机发送到目的地ip=123.151.47.86的，第二个是从服务器返回来的。

二、分析数据报协议这是UDP协议部分的信息，destination port=irdmi (8000),这在国内主要是QQ使用的端口号。

Irdmi表示为QQ聊天软件，长度为67字节，检验和显示为验证禁用，不能验证。

三、分析以太网（数据链路层）说明此包是以太网版本2,源地址是Fujianst_15:63:35(00:1a:a9:15:63:35),说明了路由器厂商是福建的一个厂商。

目的地址是InterCor_a9:4a:5c(00:26:c6:a9:4a:5c)，说明网卡是inter生产的。

内封装的是IP数据。

四、QQ传输数据是加密的在第一个oicq上右键中选择follow UDP stream,可以看到：追踪该UDP流可以看出，这些信息是加密的，需要知道加密算法才能破解。

五、数据传输顺序可以看到ip长度为67（ox0043），与下面的物理层传输的最终形式（16进制）一样。

00在前，43在后，说明进行网络传输的时候是先传输高位再传输低位,即高字节数据在低地址，低字节数据在高地址。

六、找到QQ数据中的其他包加上oicq过滤QQ包以后可能有一些包没观察到，但是不过滤的话包太多，因为电脑上运行了很多东西，即使什么也不运行也有包，甚至我把网线拔了还有包，此处无解。

网络数据传输管理技术的数据包捕获与分析随着互联网的迅速发展和普及，网络数据传输已经成为现代社会的重要组成部分。

无论是个人用户还是企业机构，都需要依靠网络进行数据传输和通讯。

在这个过程中，数据包是网络数据传输的基本单位，它包含了从发送端到接收端的所有信息。

在网络数据传输管理技术中，对数据包的捕获与分析是至关重要的一环。

数据包的捕获是指通过网络抓包工具捕获网络数据传输过程中的数据包，并对其进行记录、存储和分析。

这项工作可以帮助网络管理员或安全专家监控网络流量、发现网络问题、分析网络性能和进行安全审计。

而数据包的分析则是对捕获到的数据包进行深入的解析和研究，以便更好地理解网络传输过程中的细节和问题。

数据包的捕获与分析技术在网络管理中起着至关重要的作用。

首先，它可以帮助管理员监控网络流量，及时发现网络故障并进行排除。

当网络出现异常时，通过对捕获到的数据包进行分析，可以快速定位问题的根源，从而加快故障修复的速度。

其次，通过捕获和分析数据包，管理员可以了解网络用户的行为和需求，从而更好地优化网络性能和提升用户体验。

最后，数据包的捕获与分析也是网络安全工作的重要手段，它可以帮助防范网络攻击、检测恶意软件和保护网络数据安全。

在实际的网络管理工作中，有许多专业的数据包捕获与分析工具可供选择。

其中最知名的工具之一是Wireshark，它是一款开源的网络协议分析软件，可以捕获和分析网络数据包。

Wireshark支持多种网络协议的解析，可以帮助管理员深入了解网络通信的细节和问题。

除此之外，还有一些商业化的网络流量分析工具，如SolarWinds、PRTG等，它们提供了更加丰富的功能和更加友好的用户界面。

在进行数据包捕获与分析时，需要注意一些技术细节。

首先，要选择合适的捕获点，以确保能够捕获到需要的数据包。

其次，对捕获到的数据包进行存储和管理，可以使用专门的数据包存储设备或软件。

最后，对数据包进行分析时，需要结合实际情况和需求进行深入分析，以获得更加准确和有用的信息。