2024年5月9日发(作者:)
QQ流量特征分析
QQ软件总体分析
对QQ软件(2013正式版(7690))的视频聊天、语音聊天、远程控制、在线发送文件、
发送离线文件等情况分别进行了抓包,其中视频聊天和语音聊天对接收聊天请求和发送聊天
请求分别进行抓包,远程控制对被别人控制和控制别人电脑进行了抓包,发送在线或者离线
文件都是分别对发送文件过程和接收文件过程进行了抓包。
QQ有其特有的协议OICQ,这个协议的报文一般是在UDP协议之上的,并且其载荷是
以“02”开始,以“03”结束。虽然其载荷不能被解读,但是携带着一些信息。
0000000 02 34 0f 08 25 09 06 1f 74 5a 81 03 00 00 00 01 .4..%... tZ......
00000010 01 01 00 00 66 6f 00 00 00 00 8a a1 c2 df f8 8c ....fo.. ........
00000020 a7 81 64 98 d2 56 26 d0 f1 e1 ed 88 de 41 09 82 ..d..V&. .....A..
00000030 f0 d1 0d cb 35 4a 1e a5 de 31 2a 43 4b 10 3d f0 ....5J.. .1*CK.=.
00000040 0b ed db 6a 4b 05 84 9e 4d 3e c6 8a f1 e4 7d e4 ...jK... M>....}.
00000050 3f d1 de 0a 3d 9f c0 fb a0 3d 1e 73 d9 49 b0 cf ?...=... .=.s.I..
00000060 ad b3 d2 2f cf d1 07 2a ce 10 5a 47 be d7 95 31 .../...* ..ZG...1
00000070 0b 8c 0c b9 1e e9 91 5e ce 20 7e 59 9c 7f 11 ab .......^ . ~Y....
00000080 b7 13 10 31 0a 5a 52 96 69 e9 46 51 33 19 26 0b .... 3.&.
00000090 da ce 03 ...
00000000 02 34 0f 08 25 09 06 1f 74 5a 81 00 00 00 63 5d .4..%... tZ....c]
00000010 4c 91 1b 8b 70 96 49 31 73 62 98 e0 ff 89 bb p.
00000020 54 ef f1 23 6e ea 6c fa 24 50 40 f3 72 a9 9f df T..#n.l. $P@.r...
00000030 38 62 9f 21 2c 31 eb 8e ac d7 96 d0 ee f7 0e bb 8b.!,1.. ........
00000040 fc b4 01 42 3a 14 31 06 b3 19 da fb f9 a2 52 c7 ...B:.1. ......R.
00000050 a8 34 70 3b 13 76 fb 18 8d 1a 48 90 d1 a7 d9 79 .4p;.v.. ..H....y
00000060 ef 6d d7 3a dc ba 0d c3 a8 0f 96 cd d0 a4 03 .m.:.... .......
以上述报文为例,其中“34 0f”表示版本号,“08 25”表示命令,“09 06”表示包次序,“1f
74 5a 81”表示本主机的QQ号码,“00 00 00 01 01 01 00 00 66 6f”会话中上行报文固定出现,
与版本有关。
还有就是使用QQ进行聊天的过程也是与OICQ协议有关的,只不过与登录的OICQ协
议有着细微的差别,通过上文发现,登录报文的载荷第十二字节的位置是“03”,而在聊天
过程中的报文这个位置是“02”,并且不能像识别QQ登录过程一样依靠命令字符串来识别,
因为聊天过程中的命令字符串是时时在变的,那么可以依靠这第十二字节的位置为“02”结
合第一字节的位置为“02”识别聊天产生的流量。以下是相关报文举例。
00000000 02 34 0f 01 52 70 a8 1f 74 5a 81 02 00 00 00 01 .4..Rp.. tZ......
00000010 01 01 00 00 66 6f b5 6d 2d 14 cc 4e f8 3a 05 02 ....fo.m -..N.:..
00000020 89 41 c2 f2 4c e1 08 5b b7 88 d4 86 87 cd 03 .A..L..[ .......
0000002F 02 34 0f 01 49 7a 3f 1f 74 5a 81 02 00 00 00 01 .4..Iz?. tZ......
0000003F 01 01 00 00 66 6f f3 fe ac d3 31 be d3 f7 e6 bb ....fo.. ..1.....
0000004F fb df 0c 24 a6 79 03 ...$.y.
00000000 02 34 0f 01 52 70 a8 1f 74 5a 81 00 00 00 10 55 .4..Rp.. tZ.....U
00000010 97 a1 37 59 c7 30 80 22 65 fd 19 ac 5c f9 07 9a ..7Y.0." e......
00000020 4b 88 35 23 af b1 7c 3c f5 ae 9f 73 bc 00 58 75 K.5#..|< ...s..Xu
00000030 1a de 8a b0 89 5a 22 b6 6f 38 9e 2f dc 1b 03 .....Z". o8./...
0000003F 02 34 0f 01 49 7a 3f 1f 74 5a 81 00 00 00 3c f9 .4..Iz?. tZ....<.
0000004F 53 07 d4 9f 19 cb 5a fb a9 0d f6 d6 d5 42 4c Z. .....BL.
0000005F eb b2 0f fa fe 2b 03 .....+.
00000056 02 34 0f 01 49 7a 40 1f 74 5a 81 02 00 00 00 01 .4..Iz@. tZ......
00000066 01 01 00 00 66 6f 17 76 5e 2e a2 35 c3 ac 8c 99 ....fo.v ^..5....
00000076 0b c9 68 b1 13 0d 03 ..h....
00000066 02 34 0f 01 49 7a 40 1f 74 5a 81 00 00 00 aa 22 .4..Iz@. tZ....."
00000076 33 67 a2 00 78 02 fb 37 7e cc 32 a4 12 96 d7 7 ~.2....6
00000086 81 da 26 95 2f 99 03 ..&./..
首先对视频聊天的情况进行分析,视频聊天分别对主动与别人进行视频聊天和接收别人
视频请求的情况进行了抓包。总体观察数据包,发现主要的流量是UDP协议的流量,这比
较符合实际情况,保证数据快速传输却并不要求可靠传输。发现与本主机交互的流量最大的
IP是没有被DNS解析过的IP,同时在pcap整体的报文中进行搜索也搜索不到出自什么地
方,只是这些IP与本主机进行交互使用的是端口8000,而且与本主机交互的IP在不同的
pcap文件中可能是不同的。使用域名或者ip和端口进行识别和阻断不好实现,可以考虑采
发布评论