码迷,mamicode.com
首页 > 其他好文 > 详细

PC端QQ协议说明,完美搞定QQ智能助手

时间:2019-05-14 14:39:08      阅读:165      评论:0      收藏:0      [点我收藏+]

标签:packet   系统   reply   图片   存储   log   在线的   紧急   外网   

一、 实验目的:

  在虚拟机下NAT模式下通过Wireshark抓包,分析QQ的传输模式。了解QQ在传输信息过程中用到的协议。分析在Nat模式下,信息传输的穿透性。

二、 实验环境:

  Win7 专业版32位(在虚拟机里面)。

  Win7 旗舰版64位(物理机)

  QQ版本:TM2013

  Wireshark

三、文字聊天协议族(TCPF, Text Chatting Protocol Family)

它主要支持与其它QQ客户端进行文字聊天。TCPF是建立在UDP协议之上。UDP数据包中的第一个字符02为这个协议族的标识。TCPF的服务器使用8000号端口,腾讯的QQ客户端软件一般从4000号端口开始尝试使用,但实际上,对客户端使用的端口号并没有限制。目前的研究集中在TCPF上。

TCPF包结构

对于TCPF包我们又把它分为5类:

1)、登录请求包(LIP,LogIn Packet),它是由客户端向服务器发出登录请求的数据包。

2)、登录应答包(LRP,Login Reply Packet),它是由服务器响应客户端登录请求的数据包。

3)、注销请求包(LOP,LogOut Packet),它是由客户端向服务器发出注销登录请求的数据包,服务器对这个包不作应答。

4)、客户端其它包(CSP,Client Sent Packet),它是由客户端向服务器发送的其它包。

5)、服务器其它包(SSP,Server Sent Packet),它是由服务器向客户端发送的其它包。

TCPF包头:

0)、所有TCPF包的前7个字节是包头,包头可以识别TCPF包的内容。包头的格式为:

1)、第0字节:TCPF包标识:0x02。

2)、第1-2字节:发送者标识。如果是0x01 0x00,表明是由服务器发送。客户端的标识与所使用的使用的QQ版本有关,如:版本QQ2013(8550)的标识为0x34 0x33。具体的协议的格式与这个字段所标识的客户端版本有关。目前我们以这个最新的3433版本来讨论。

3)、第3-4字节:命令编号。具体的命令编号含义在《QQ协议概述》(Protocol Overview.rtf)中有描述。以QQ2013为例,如果这个字段是0x00 0x59,那么这是一个注销请求包。如果这个字段是0x08 0x25,而第12位为 0x00,那么这是一个登录应答包。如果这个字段是0x08 0x25,而第12位为 0x03,那么这是一个登录请求包。其它的命令代码表明是其它包,我们通过发送者标识来区分它是CSP还是SSP。

4)、第5-6字节:命令序列号。客户端和服务器都有各自的当前发送序列号。每初始发出一个指令的时候,使用当前的序列号,然后把当前序列号加一,如果超过0xFFFF,就绕回。如果是响应对方发出的命令,则使用这个命令的序列号。例如,客户端当前的序列号为0x1110,它向服务发送一个0x0016命令,它使用0x1110这个序列号,服务器收到以后,返回一个序列号为0x1110的0x0016命令响应。下一次,客户端又发送一个0x0026命令,这一次它使用加一了的序列号0x1111,服务器也响应0x1111序列号的一个0x0026命令响应。如果这是服务器要向客户端发送0x0017命令,它使用它自己的当前序列号,比如说0x2220,客户端收到以后,也响应一个序列号为0x2220的0x0017命令应答。我们可以通过序列号来判断发出的指令是否已经得到了应答,如果没有,可以重发。服务器对收到的命令的序列号顺序没有要求。服务器也不会一定按照发出的顺序给予应答。

TCPF包尾:所有的TCPF包都以0x03作为包尾。

  技术图片                     

三、 实验内容:

1、 QQ登录

  1)、UDP登录

  在虚拟机的win7打开QQ面板,设置登录服务器的类型为UDP

        技术图片

  启动wireshark,然后开始登录QQ,登录成功等待一会儿停止wireshark的抓包。

  抓包如图:

       技术图片

  我们可以看到本地向远程登录服务器183.60.48.174发送了一个UDP的数据包,这个就是IP就是在刚才设置UDP登录时的系统默认IP,还可以看到这个IP返回了一个UDP的数据包。看来这两个包就应该是登录验证的包,接下来的几个包的服务器IP变成了183.60.48.165,由于这个IP和登录服务器的IP位于统一网段,因此我们可以猜测这个IP是腾讯用来存储我们发送的信息的服务器。需要注意的是,在多次实验下,可以发现服务器不止183.60.48.165这一个,这是因为想QQ这样的大吞吐量的信息交互,必须用多台服务器分流,所以这个IP并不一定是某一个。下面的一些包应该就是心跳包。那个OIQC协议就是QQ用的协议,其实实际上也是一个UDP包。下面的DNS协议就是因为我的QQ是在虚拟机里面登录的,在向外网交互信息的时候会通过网关192.168.214.2解析。

  我们来分析一下登录时候的UDP包

       技术图片

  从这个图我们可以得知源和目的的IP,mac地址,还有双方的端口号等等一些信息。

   数据链路层:

       技术图片

  目的MAC地址:00 50 56 e3 56 95

  本机MAC地址: 00 0c 29 ba 59 3c

  网络层:

       技术图片

  通过查询资料和分析我们知道:

  45:版本IPv4,首部长度20字节

  00:区分服务

  00-73:总长度175字节

  36-1e:标识

  00-00:标志和偏移

  80:生存时间128

  11:传输协议UDP(17)

  传输层:

       技术图片

  0f-a0:源端口4000

  1f-40:目的端口8000

  009b:长度155字节

  7f-c4:检验和

  QQ的数据

       技术图片

  通过查询资料和分析我们知道:

  02:QQ报文的开头 

  34-20:QQ客户端的版本号,实验所用版本为QQTM2013

  08-25:用户请求登陆的命令的序号 

  67-dc:发送数据的序号  

  56-a6-d2-5c:用户QQ号码,实验中为1453773404

  之后的内容为加密的数据内容 

  最后一个字节03:QQ报文的结尾

  2)、TCP登录

  设置如图:

        技术图片

  启动wireshark,然后开始登录QQ,登录成功等待一会儿停止wireshark的抓包。

  抓包如图:

        技术图片

  可以看到几个TCP的包还有一个SSL的包

  对TCP包分析如图:

       技术图片

  通过对UDP协议的分析,我们可以看到数据层和网络层的十六进制代码和之前的一模一样,这里我们就值分析传输层的TCP协议了,如图:

       技术图片

  通过查询资料和分析我们知道:

  C4-5e:源端口号50270

  01- bb:目的端口443

  45-34-fc-63:序号 

  00-00-00-00:确认号 

  80-02:数据偏移,标志 

  20-00:窗口大小8192字节 

  7f-3b:检验和 

  00-00:紧急指针  

  其余部分为可选字段和填充字节

  在TCP协议里面我们没有看到QQ的登录验证消息。为什么呢?一看这里还有一个SSL协议,QQ会不会是通过SSL验证的呢?

  SSL((Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。)

  那么我们来看看这个包:

        技术图片

  02:QQ报文的开头 

  34-20:QQ客户端的版本号,实验所用版本为QQTM2013

  08-25:用户请求登陆的命令的序号 

  67-dc:发送数据的序号  

  56-a6-d2-5c:用户QQ号码,实验中为1453773404

  之后的内容为加密的数据内容 

  最后一个字节03:QQ报文的结尾

  可见,这个包的信息和UDP登录时候的一样,那么TCP登录是确实使用了SSL。

2、 心跳消息数据包技术图片

  如图,通过IP地址查询,可以知道119.147.45.40是广东深圳的IP,而深圳是腾讯的老巢。在多次的抓包中也可以看到这个IP段,所以我们有理由相信,这个IP段是腾讯的。

  那么我们打开来看看。

        技术图片

  看到这里,确实有很熟悉哦。通过查阅资料和分析我们知道:

  通过查询资料和分析我们知道:

  02:QQ报文的开头 

  34-20:QQ客户端的版本号,实验所用版本为QQTM2013

  00-58:用户在线的命令序号 

  3b-09:发送数据的序号  

  56-a6-d2-5c:用户QQ号码,实验中为1453773404

  之后的内容为加密的数据内容 

  最后一个字节03:QQ报文的结尾

3、 收发信息数据包

  对方在线的时候

技术图片

我们看看第一个包:

技术图片

  可以看到蓝色字体那里的02是QQ报文的开头,这里需要注意的就是00-cd是客户端向服务器发送消息的命令序号,1b-db是发送数据序号,其他的都一样。通过几次实验发现,00-cd客户端向服务器发送消息的命令序号是固定的,而1b-db发送数据序号是会改变的。而且没每送一个包,服务器是会回复一个包给客户端的。

 

资料QQ助手方式,关注公总号RaoRao1994,查看往期精彩-所有文章,即可获取资源下载链接

技术图片

更多资源获取,请关注公总号RaoRao1994

 

PC端QQ协议说明,完美搞定QQ智能助手

标签:packet   系统   reply   图片   存储   log   在线的   紧急   外网   

原文地址:https://www.cnblogs.com/raorao1994/p/10861856.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!