EtherPeekNX的使用.docxVIP

EtherPeek NX的使用一、前言??? 本文旨在推荐使用EtherPeek NX的同时，通过分析截取的QQ协议包，探讨QQ私有协议的一些特点。二、EtherPeek NX概述??? 前不久由于工作需要，修改madwifi代码分析无线接收包，但发送包无法获取，从源代码着手分析也过于复杂，所以才用上了Win下的截包软件EtherPeek NX，EtherPeek NX能根据OSI七层的架构，解析每个包且即时监视网路的各种状态，并能通过对问题的自动识别提供说明及解决方案，同时可以对多种网络状况提供Latency及Throughput解析，将网络上的所有结点沟通的状态以图形的方式完全显示出来，人机交互界面做的非常友好，当然，类似于其它截包软件，EtherPeek NX也需要WinPcap的支持，关于WinPcap的更多信息可参考：/。三、EtherPeek NX 2.0界面四、包分析五、QQ协议特点??? QQ协议有以下特点：??? 1、默认采用UDP方式，客户端默认端口：4000，服务器端默认端口：8000；??? 2、截取负载部分如下所示：???????? 02 19 0F 00 91 1A 37 03 DC CA EE 10 49 E4 F0 20 [42-57]???????? C6 A1 5C 32 CB 1E 7F 42 76 D3 7B 6A A8 3E 41 AD [58-73]???????? D4 34 2D 3E 64 56 3B E6 2E 3F 99 2D D4 60 DF 4F [74-89]???????? BF F4 1B DB 40 43 9B ED 18 AD 6A 58 4D 10 C8 F0 [90-105]???????? 9D 5F 1E CC 83 3B A6 9E DC B3 00 03 [106-117]??? 3、多次截包分析可知，前4个字节固定，表示内部协议版本：02 19 0F 00 ；??? 4、第5个字节为命令类型编号：91；??? 5、第6～第7的2个字节随机生成的包序列号（同一命令类型，连续多个包，依次递增）：1A 37（用于回应包的对号入座）；??? 6、第8～第11的4个字节为QQ帐号，此处用的是明文方式，且自动补0：03 DC CA EE（转换成十进制为作者的QQ号）；??? 7、最后1字节为消息结束码：03；??? 8、从客户端（本地）发往服务器端的所有包都包含上述的1～7，而服务器端回应客户端也应该包含相应的1～7；??? 9、分析可知，QQ的消息包有包头，包体，包尾之分，而且包体有全加密，不加密和部分加密的区别；?? 10、前面12个包大小一致，且顺序一致，后面的则错乱，或者推知前面完成口令认证过程。??? 具体如何实现口令认证，qq密码传送所用加解密算法，以及密钥如何协商有待进一步实验和探讨。