第6章：应用层协议及其他协议v4.2学案.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 《网络协议分析与应用》第6章 应用层协议 * 已知TCPF服务器： 46 : 8000 51 : 8000 54 : 8000 03 : 8000 52 : 8000 53 : 8000 45 : 8000 2 : 8000 《网络协议分析与应用》第6章 应用层协议 * QQ协议包的构成是： ?QQ协议包头｜QQ命令包｜包尾 ? QQ包头是7个字节：分别的意义是： ?第0-0字节：总是02，表明是基本的QQ协议。在新版本的QQ中，我们发现还有使用06和01的，大约的作用似乎是：06是向服务器（和不同QQ使用的服务器不同）请求发送一些作用不明的文件。01是服务器向它进行发送这个文件。目前，我们明白作用的是02协议族。 ?第1-2字节：发送者的QQ软件版本代码。如果是01 00表示是发自服务器的包。这时候我们检查源IP地址就可以获得服务器的IP。 ?第3-4字节：QQ指令代码。如果发现有新的指令，将是很重要的信息。 《网络协议分析与应用》第6章 应用层协议 * 第5-6字节：指令序列号。QQ的指令总是成对出现的，也就是说，一方发出一个命令，将会收到另一方的同样序列号的应答。另外，发送方每条指令的序列号都是上一条指令的加一。有两个方面要注意的是，每一方都维持自己的序列号，也就是说，客户端的当前序列号和服务器的当前序列号是不一致的，当客户端为指令发出方的时候，它使用自己的当前序列号，而服务器作为应答方，在应答的时候使用的接受到的命令的序列号；反之，如果是服务器是指令的发出方，那么它就使用自己的当前序列号，而不用理会客户端上一条指令的序列号。另外一个事情是，由于服务器会同时和多个客户端通信，所以，对每个客户端收到的服务器指令的序列号不是连续的，序列号的连续性不应该作为丢包的判断依据。 ? 另外，通信开始客户端的第一个序列号是随机选取的，但似乎没有发现大过0x00ff的。最后的退出登录数据包总是使用0xffff作为序列号，而且是不会有应答的。 ? 包尾是一个字节，目前发现总是0x03。 《网络协议分析与应用》第6章 应用层协议 * 包结构类型： TCPF包我们把它分为５类： 登录请求包（LIP，LogIn Packet），它是由客户端向服务器发出登录请求的数据包。 登录应答包（LRP，Login Reply Packet），它是由服务器响应客户端登录请求的数据包。 注销请求包（LOP，LogOut Packet），它是由客户端向服务器发出注销登录请求的数据包，服务器对这个包不作应答。 客户端其它包（CSP，Client Sent Packet），它是由客户端向服务器发送的其它包。 服务器其它包（SSP，Server Sent Packet），它是由服务器向客户端发送的其它包。 《网络协议分析与应用》第6章 应用层协议 * LIP包： 登录请求包的包数据格式为： 第7-10字节（4 bytes）：发出登录请求的QQ号码。 第11-26字节（16 bytes）：随机密钥。这个密钥用于加密后面的数据。QQ使用TEA算法来加密数据。它使用的是128bit（16 bytes）的密钥。在0A1D版本中，这个密钥已经固定为16个01。 第27-106字节（80 bytes）：加密后的登录包数据。 《网络协议分析与应用》第6章 应用层协议 * LRP包： 从第7字节开始到包尾前：加密的登录应答包数据。解密的密钥随客户端版本的不同，有不同的可能。在旧有版本中，使用登录包的随机密钥，在后期的版本，使用用户QQ密码的MD5 Digest。在0A1D中，使用QQ密码的MD5 Digest的MD5 Digest（这体现了腾讯有多么的愚昧和无耻，为了改变而改变）。LRP包内数据很重要的是16个字节的Session Key，它用来作为以后通讯的加密密钥。 《网络协议分析与应用》第6章 应用层协议 * LOP包： 它的序列号总是0xFFFF。不过，在新的版本中，好象已经没有了这个要求。 第7－10字节（4 bytes）：发送注销登录请求的QQ号码。 第11字节到包尾前：加密的注销登录包数据。使用Session Key作为密钥。 《网络协议分析与应用》第6章 应用层协议 * CSP包： 第7-10字节（4 bytes）：