科来网络分析系统、Sniffer Pro、Ethereal之QQ应用分析比较

KelvinFu · 发表于 2006-12-27 16:08:36

完整PDF文件下载：

科来网络分析系统、Sniffer Pro、Ethereal三大分析软件之QQ应用分析比较.pdf (220.53 KB, 下载次数: 442)

我们知道，QQ是目前国内非常流行的即时通讯软件，通过QQ，我们可以与远在天涯海角的朋友聊天、视频、传送照片文件等。我们知道，QQ使用的是它自己的协议，即QQ协议，且QQ协议是基于UDP进行传输的，同时腾讯公司将对该协议进行了加密。

加密了，我们就不能对它进行分析了吗？当然不是，加密只是对聊天内容的加密，但对于QQ的其他应用操作，我们还是可以进行分析的，比如QQ登陆上线，发送信息，接收信息，下线退出等操作。下面我们就使用科来网络分析系统、Sniffer Pro、Ethereal三款流行的网络分析软件来了解QQ的具体应用情况。

在这里我们使用QQ默认登陆方式，即使用UDP的8000端口。我们分别打开科来网络分析系统、Sniffer Pro、Ethereal这三款分析软件，为了减少其他的干扰数据，分别给它们设置QQ过滤器，只捕获QQ的数据包。

过滤器设置如下：

科来网络分析系统

科来网络分析系统支持QQ协议，所以我们直接在过滤器中选择QQ协议，如图1所示。当然，我们也可以端口过滤器来实现此目的（略）。
QQ协议过滤器.gif

（图1 在科来网络分析系统中设置QQ过滤器）

Sniffer Pro

Sniffer Pro（这里的版本是4.7.5）不支持QQ协议，所以我们在Data Pattern中设置源端口或目标端口为8000的QQ过滤器，如图2。
Sniffer过滤器.gif

（图2 在Sniffer Pro中设置QQ过滤器）

Ethereal

Ethereal（这里的版本是0.10.13）也不支持QQ协议，所以我们需要在Ethereal中添加捕获端口8000的QQ过滤器，如图3。
Ethereal过滤器.gif

（图3 在Ethereal中设置QQ过滤器）

我们设置好过滤器，将三款分析软件同时开始捕获数据包，并使用QQ软件进行登陆上线，发送消息，接受消息，下线退出等操作后，停止捕获。

现在我们来看看这三款软件对该过程的分析情况：

科来网络分析系统

科来网络分析系统支持 QQ协议，我们可以从协议统计视图和数据视图来查看，如图4和图5。
科来网络分析系统抓包1.gif

（图4 协议统计视图）

从图4可以看到，科来网络分析系统能够分析QQ的具体动作，如Login、 Logout、Keep Alive、Receive Message、Send Message、Other。而且每个动作在科来网络分析系统中都以不同的颜色来显示，非常清晰。

而在数据包视图中，列出了QQ在各个动作的数据包信息，通过协议列的颜色，我们也可以了解到，哪些数据包属于QQ的哪种动作。当然，我们也可以使用节点浏览器进行显示过滤。如图5。
科来网络分析系统抓包.gif

（图5 数据包视图）

Sniffer Pro

接下来，我们来看看Sniffer Pro中对QQ应用的分析情况。如图6。
Sniffer抓包.gif

（图6 Sniffer Pro中的数据包解码窗口）

Sniffer Pro不支持QQ协议，在捕获的QQ数据包中只能以UDP数据包来体现，如果我们需要对QQ进行分析，我们只能通过8000端口来辨别，而不能分析QQ的具体动作。

Ethereal

最后，我们来查看Ethereal对QQ应用的分析情况，如图7所示。
Ethereal抓包.gif

（图7 Ethereal窗口）

从图7中我们看到，Ethereal也不支持QQ协议，它只能将源端口和目标端口分别为4000（或8000）和8000（或4000）的数据包识别为ICQ数据包，但也没有对QQ的具体动作进行分析！

以上是我们使用科来网络分析系统、Sniffer Pro4.75、Ethereal对QQ应用的分析，
在这里我们并没有对QQ本身进行很深入的分析，只是借助三款目前流行的网络分析软件来分析QQ的具体应用。通过上面的分析，我们发现科来网络分析系统在QQ的应用分析方面比另外2款软件要做的好一些。

[ 本帖最后由 KelvinFu 于 2006-12-27 16:16 编辑 ]

cwym29 · 发表于 2006-12-28 14:11:06

不错的分析比较。
科来可以认出QQ，Ethereal将之认成为ICQ，而Sniffer根本就不能识别（可能是国外软件的原因），看来对于国内的某些应用，还是科来更为合适啊。

wugenfa · 发表于 2006-12-28 23:23:23

hao \\\\\

icefired · 发表于 2006-12-29 00:50:17

其实Ethereal是最先支持QQ的, 您可以使用0.99.4及以后的版本, 过滤器设置为OICQ而不是QQ, 值得高兴的是这个插件也是国人开发的, 很少见的.

XHR · 发表于 2006-12-29 10:02:09

楼主，我的是科来技术交流版6.3，怎么找不到QQ这个协议过滤呢？
四楼的兄弟，我使用的是Ethereal是最新版的，可是在过滤那里设置OICQ，提示我找不到过滤。

菜鸟人飞 · 发表于 2006-12-29 10:08:32

科来网络分析系统中，QQ协议在Ethernet II->IP->UDP->QQ

XHR · 发表于 2006-12-29 10:42:13

老大，我还是找不到啊！

XHR · 发表于 2006-12-29 10:51:06

哈哈，终于找到了！
抓幅图给大家！

heroyi · 发表于 2007-1-1 15:33:45

3种软件都会用，那才识王道

gx120 · 发表于 2007-1-5 13:56:04

这样比科来有优势.

zhaili · 发表于 2007-2-8 22:24:04

ju7jujjjynyjnyn

lovehack2006 · 发表于 2007-2-9 01:48:23

呵呵，这个软件对国内的应该肯定比外国的来的好了。。。

phoenixfire · 发表于 2007-3-27 12:36:02

呵,科来的比较容易上手

xixifenger · 发表于 2008-3-30 19:04:40

分析得很到位,真的是受益颇多啊~~

mxmwintan · 发表于 2008-4-2 23:34:00

非常合理的比较分析，分析的也相当的全面

tangzhen · 发表于 2009-1-20 01:12:18

ggggggggggggggggggggggg

sumingjian · 发表于 2009-1-20 17:19:17

晕，这么老的帖子也被翻出来了，还是支持一下LZ。

serverking · 发表于 2010-4-28 14:06:00

看看，，，不知道行不行,,,,!!!!!!!!!!!!!!!!!!!!!!!

serverking · 发表于 2010-4-28 14:17:47

为什么只能看得到本机上的Q，，看不到其他IP机的Q

liquanzhou · 发表于 2010-4-29 12:55:30

找到了，貌似无法查看加密的数据啊！不知道现在有什么好办法解决。

chinaciscoccie · 发表于 2010-5-6 10:29:10

还是科来更好。
sniffer和ethereal都需要停止嗅探才能看到包结构。。。
而科来可以边嗅探边查看包结构。。。这一点最强悍！

xiaox0321 · 发表于 2010-5-11 13:04:18

好吧，下载回来研究去.................

wangjun83007 · 发表于 2010-5-11 13:43:04

好吧，下载回来研究去.................

xnzyou · 发表于 2010-6-13 20:33:58

好吧，下载回来研究去.................

科来网络分析系统、Sniffer Pro、Ethereal之QQ应用分析比较

j7uj7j

浏览过的版块