Wireshark抓包qq分析

Wireshark（前稱Ethereal）是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包，並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面，直接與網絡卡進行資料報文交換。
Wireshark的主視窗如下，它由3個面板組成，從上到下依次是packet list(資料包列表)、packet details（資料包細節）和packet bytes（資料包位元組）。

一、開啟wireshark選擇本機網絡卡，由於我本機使用的是wifi，所以選擇WLAN;

二、雙擊點選後將會看到大量的流量資料包傳送,如下圖;

三、在搜尋框裡輸入oicq進行篩選

可以看出源地址是220.249.245.15；目標地址是10.33.23.37

四、如果希望在packet details面板中檢視一個單獨的資料包的內容，必須先在packet list面板中單擊選中那個資料包，就可以在packet details面板中選中資料包的某個欄位，從而在packet bytes面板中檢視相應欄位的位元組資訊。

在這裡我隨機選擇了一個數據包，雙擊滑鼠檢視資料：

五、具體分析
1.資料鏈路層（乙太網）

從下圖中可以看出該路由器的廠商在 HuaweiTe；該資料包的目標地址是IntelCor_0f:bc:9d (dc:fb:48:0f:bc:9d)；這個資料包中乙太網頭的源地址e8:68:19:2a:92:77就是我們的MAC地址。

2.網路層（網際網路協議）

可以看到IP的版本號為4；IP頭的長度是20位元組；首部和載荷的總長度是115位元組；並且TTL（存活時間）域的值是51；還可以看出一臺IP地址為220.249.245.156的裝置將一個ICMP請求發向了地址為10.33.23.37的裝置，這個原始的捕獲檔案是在源主機220.249.245.156上被建立的。

3.運輸層（使用者資料報協議UDP）

可以看出源埠是8000；目標埠是51189；資料包位元組長度為95位元組。

4.單擊OICQ-IM software

可以看到自己登入的QQ號碼：2038684377

5.檢視傳輸資料

點滑鼠右鍵，點“追蹤流——UDP流”或者“Ctrl+Alt+Shift+U”可檢視傳輸資料

可以看到:

這說明qq聊天內容是加密傳送的，需要知道加密演算法才能破解。

（PS：本文根據百度經驗由本人自己實驗完成，如果有不對的地方請大家多多包涵並指出。）