计算机网络qq抓包分析.pdfVIP

QQ数据包分析

一、实验内容：

分析QQ数据包协议：Ethernet、IP、TCP、UDP、DNS、HTTP

等，按层详细分析数据包工作机制和各协议数据组成及功能作用。

二、实验环境：

Window7环境下、QQ2014

三、实验工具：

QQ2014、Ethereal抓包工具、Wiresshark抓包工具

四、实验内容

1、QQ登录数据包分析

利用Wireshark抓包工具的过滤规则OICQ对于qq登录的第一条登录信息进行截

取分析

首先我们通过对第一条信息的截图我们可以看到信息

1、帧的信息：

该数据帧的帧号为：37

帧的大小：648bits

数据接口：interface0

到达时间：Mar9,201514:57:07.546829000中国标准时间

帧所用到的协议：ethethertypeipudpoicq

2、数据链路层帧（eth）：

以太网帧首部大小：14个字节

目的地址：Dst:AsustekC_60:5e:44(14:da:e9:60:5e:44),

源地址：Src:DigitalC_02:f6:fe(00:03:0f:02:f6:fe)

类型字段：0800

字段类型：IP

3、网络层协议IP

Ip数据报首部长度：20字节

版本号：4，目前使用为IPV4

首部长度：20字节

区分服务：00

总长度：67字节

标识：0x5c5c(23644)

标志：0x00

片偏移：0个单位

生存时间：64，表明的是这个数据报之前没有经过路由结点

协议：UDP（17）

头部检验和：0x1b3c[validationdisabled]

源IP地址：()

目的地址：6(6)

4、用户数据协议UDP

源端口：52185(52185)

目的端口：8000(8000)表明目的端使用的应用层的协议是变更OICQ默认通讯端口

数据长度：47

检验和：0xac29[validationdisabled]

5、OICQ协议

标志：OICQ数据包

版本：0x3559

命令:RequestKEY(29)

序列号：3137

数据发送端号码：OICQ数字，935692234

数据：封装无法查看

2、qq离线文件的传输分析：

1、选取原则：

根据发送文件的时间段，因为网速延迟的原因我们可以看到选取

的时间段会有所误差，

截图的原则：1、利用抓包工具的过滤机制选取HTTP协议段（qq

离线文件是以HTTP协议传送的）(如下图)

2、选取与发送时间段相近的数据帧（如下图）

3、qq离线文件的选取：发送端关键字为POST/,接收端为

GET/（如下图）

2、帧的信息

该数据帧的帧号为：2707

帧的大小：7768bits

数据接口：：

到达时间：Mar9,201514:57:34.046219000中国标准时间

染色显示规则字符串:http||tcp.port==80||http2TCP端口号为80

帧所用到的协议：eth:ethertype:ip:tcp:http:media

3、链路层帧eth与网络层协议ip数据分析与上相同

注：此时的内部数据为TCP数据段

4、传输层协议TCP

源端口：80

目的端口：38458

流索引：114

TCP信息段长：917

序列号：5814（相对序列号）

下一个序列号：6758

确认号：386（相对确认号）

首部长度：20字节

标志：000000011000=Flags:0x018(PSH,ACK)

窗口大小：15544

检验和：0x3b17[validationdisabled]

紧急指针：0

5个重新整合的TCP报文段：

编号#2702（1460bytes）编号#2701（1460bytes）编号#2704（1460bytes）

编号#2705（1460b