資源描述:
《計(jì)算機(jī)網(wǎng)絡(luò)qq抓包分析.doc》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫�����。
1����、QQ數(shù)據(jù)包分析一、實(shí)驗(yàn)內(nèi)容:分析QQ數(shù)據(jù)包協(xié)議:Ethernet�、IP、TCP�、UDP、DNS��、HTTP等�,按層詳細(xì)分析數(shù)據(jù)包工作機(jī)制和各協(xié)議數(shù)據(jù)組成及功能作用。二��、實(shí)驗(yàn)環(huán)境:Window7環(huán)境下��、QQ2014三�、實(shí)驗(yàn)工具:QQ2014、Ethereal抓包工具�、Wiresshark抓包工具四��、實(shí)驗(yàn)內(nèi)容1、QQ登錄數(shù)據(jù)包分析利用Wireshark抓包工具的過濾規(guī)則OICQ對(duì)于qq登錄的第一條登錄信息進(jìn)行截取分析首先我們通過對(duì)第一條信息的截圖我們可以看到信息1����、幀的信息:該數(shù)據(jù)幀的幀號(hào)為:37幀的大小:648bits數(shù)據(jù)接
2��、口:interface0到達(dá)時(shí)間:Mar9,201514:57:07.546829000中國標(biāo)準(zhǔn)時(shí)間幀所用到的協(xié)議:ethethertypeipudpoicq2�、數(shù)據(jù)鏈路層幀(eth):以太網(wǎng)幀首部大小:14個(gè)字節(jié)目的地址:Dst:AsustekC_60:5e:44(14:da:e9:60:5e:44),源地址:Src:DigitalC_02:f6:fe(00:03:0f:02:f6:fe)類型字段:0800字段類型:IP3�����、網(wǎng)絡(luò)層協(xié)議IPIp數(shù)據(jù)報(bào)首部長度:20字節(jié)版本號(hào):4��,目前使用為IPV4首部長度:20字節(jié)區(qū)分服
3��、務(wù):00總長度:67字節(jié)標(biāo)識(shí):0x5c5c(23644)標(biāo)志:0x00片偏移:0個(gè)單位生存時(shí)間:64���,表明的是這個(gè)數(shù)據(jù)報(bào)之前沒有經(jīng)過路由結(jié)點(diǎn)協(xié)議:UDP(17)頭部檢驗(yàn)和:0x1b3c[validationdisabled]源IP地址:192.168.83.9(192.168.83.9)目的地址:183.60.56.36(183.60.56.36)4���、用戶數(shù)據(jù)協(xié)議UDP源端口:52185(52185)目的端口:8000(8000)表明目的端使用的應(yīng)用層的協(xié)議是變更OICQ默認(rèn)通訊端口數(shù)據(jù)長度:47檢驗(yàn)和:0xac29[v
4、alidationdisabled]5���、OICQ協(xié)議標(biāo)志:OICQ數(shù)據(jù)包版本:0x3559命令:RequestKEY(29)序列號(hào):3137數(shù)據(jù)發(fā)送端號(hào)碼:OICQ數(shù)字��,935692234數(shù)據(jù):封裝無法查看2���、qq離線文件的傳輸分析:1����、選取原則:根據(jù)發(fā)送文件的時(shí)間段�,因?yàn)榫W(wǎng)速延遲的原因我們可以看到選取的時(shí)間段會(huì)有所誤差,截圖的原則:1��、利用抓包工具的過濾機(jī)制選取HTTP協(xié)議段(qq離線文件是以HTTP協(xié)議傳送的)(如下圖)2����、選取與發(fā)送時(shí)間段相近的數(shù)據(jù)幀(如下圖)3、qq離線文件的選?��。喊l(fā)送端關(guān)鍵字為POST/,接收端
5��、為GET/(如下圖)2����、幀的信息該數(shù)據(jù)幀的幀號(hào)為:2707幀的大小:7768bits數(shù)據(jù)接口:interface0(DeviceNPF_{95B244F7-56E0-42EA-83AC-B199A0F94798})到達(dá)時(shí)間:Mar9,201514:57:34.046219000中國標(biāo)準(zhǔn)時(shí)間染色顯示規(guī)則字符串:http
6�、
7、tcp.port==80
8��、
9�、http2TCP端口號(hào)為80幀所用到的協(xié)議:eth:ethertype:ip:tcp:http:media2、鏈路層幀eth與網(wǎng)絡(luò)層協(xié)議ip數(shù)據(jù)分析與上相同注:此時(shí)的內(nèi)部數(shù)
10���、據(jù)為TCP數(shù)據(jù)段2、傳輸層協(xié)議TCP源端口:80目的端口:38458流索引:114TCP信息段長:917序列號(hào):5814(相對(duì)序列號(hào))下一個(gè)序列號(hào):6758確認(rèn)號(hào):386(相對(duì)確認(rèn)號(hào))首部長度:20字節(jié)標(biāo)志:....000000011000=Flags:0x018(PSH,ACK)窗口大?�。?5544檢驗(yàn)和:0x3b17[validationdisabled]緊急指針:05個(gè)重新整合的TCP報(bào)文段:編號(hào)#2702(1460bytes)編號(hào)#2701(1460bytes)編號(hào)#2704(1460bytes)編號(hào)#2705(
11����、1460bytes)編號(hào)#2707(1460bytes)重組TCP報(bào)文長度:6757bytesreassembletcpsegment:表示TCP層收到上層大塊報(bào)文后分解成段后發(fā)出去。于是有個(gè)疑問���,TCP層完全可以把大段報(bào)文丟給IP層�����,讓IP層完成分段����,為什么要在TCP層分呢����?其實(shí)這個(gè)是由TCP的MSS(MaximumSegmentSize���,最大報(bào)文段長度)決定的,TCP在發(fā)起連接的第一個(gè)報(bào)文的TCP頭里通過MSS這個(gè)可選項(xiàng)告知對(duì)方本端能夠接收的最大報(bào)文(當(dāng)然��,這個(gè)大小是TCP凈荷的大?�。?���,以太網(wǎng)上這個(gè)值一般設(shè)置成146
12、0���,因?yàn)?460Byte凈荷+20ByteTCP頭+20ByteIP頭=1500字節(jié)�����,正好符合鏈路層最大報(bào)文的要求�����。2���、超文本傳送協(xié)議HTTPPost地址:ftn_handler?bmd5=bcf6e336a34e6c18014291fbaf1ff4fbHTTP/1.1rUser-Agent:qq客戶端主機(jī):1
