Wireshark抓包qq分析
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
操作方法
- 01
准备工作:打开Wireshark软件,登录qq。 选择抓包,打开qq与网友聊天,过一会停止抓包。 可以看到Wireshark的主窗口如下,它由3个面板组成,从上到下依次是packet list(数据包列表)、packet details(数据包细节)和packet bytes(数据包字节)。
- 02
输入oicq进行筛选(oicq就是QQ的意思) 可以看出源地址是183.60.19.41;目标地址是10.66.49.67。
- 03
如果希望在packet details面板中查看一个单独的数据包的内容,必须先在packet list面板中单击选中那个数据包,就可以在packet details面板中选中数据包的某个字段,从而在packet bytes面板中查看相应字段的字节信息。 这里我选择序号为699的数据包,双击鼠标查看数据
- 04
具体分析 数据链路层(以太网) 可以看出该路由器的厂商在Hangzhou(杭州);该数据包的目标地址是50:46:5d:98:8a:2d,这是一个以太网的广播地址,所有发送到这个地址的数据都会被广播到当前网段中的所有设备;这个数据包中以太网头的源地址00:23:89:80:e3:00就是我们的MAC地址。
- 05
网络层(互联网协议) 可以看到IP的版本号为4;IP头的长度是20字节;首部和载荷的总长度是75字节(0x004b),00在前,4b在后,说明进行网络传输的时候是先传输高位再传输低位,即高字节数据在低地址,低字节数据在高地址;并且TTL(存活时间)域的值是52;还可以看出一台IP地址为183.60.19.41的设备将一个ICMP请求发向了地址为10.66.49.67的设备,这个原始的捕获文件是在源主机183.60.19.41上被创建的。
- 06
运输层(用户数据报协议UDP) 可以看出源端口是irdmi (8000),这在国内主要是QQ使用的端口号(irdmi表示为QQ聊天软件);目标端口是53027;数据包字节长度为55字节;检验和显示为验证禁用,不能验证。
- 07
单击OICQ-IM software 可以看到自己登录的QQ号码925495994
- 08
查看传输数据 点鼠标右键,点“follow UDP stream(根据UDP码流)”可查看传输数据
- 09
可以看到: 说明qq聊天内容是加密传送的,需要知道加密算法才能破解。