科来网络分析系统、Sniffer Pro、Ethereal之QQ应用分析比较

wuweiwei2008

科来网络分析系统、Sniffer Pro、Ethereal之QQ应用分析比较我们知道，QQ是目前国内非常流行的即时通讯软件，通过QQ，我们可以与远在天涯海角的朋友聊天、视频、传送照片文件等。我们知道，QQ使用的是它自己的协议，即QQ协议，且QQ协议是基于UDP进行传输的，同时腾讯公司将对该协议进行了加密。

加密了，我们就不能对它进行分析了吗？当然不是，加密只是对聊天内容的加密，但对于QQ的其他应用操作，我们还是可以进行分析的，比如QQ登陆上线，发送信息，接收信息，下线退出等操作。下面我们就使用科来网络分析系统、Sniffer Pro、Ethereal三款流行的网络分析软件来了解QQ的具体应用情况。

在这里我们使用QQ默认登陆方式，即使用UDP的8000端口。我们分别打开科来网络分析系统、Sniffer Pro、Ethereal这三款分析软件，为了减少其他的干扰数据，分别给它们设置QQ过滤器，只捕获QQ的数据包。

过滤器设置如下：

科来网络分析系统
科来网络分析系统支持QQ协议，所以我们直接在过滤器中选择QQ协议，如图1所示。当然，我们也可以端口过滤器来实现此目的（略）。

01.gif (25.06 KB)
2006-12-28 10:33


（图1  在科来网络分析系统中设置QQ过滤器）

Sniffer Pro
Sniffer Pro（这里的版本是4.7.5）不支持QQ协议，所以我们在Data Pattern中设置源端口或目标端口为8000的QQ过滤器，如图2。

02.gif (13.33 KB)
2006-12-28 10:33


（图2  在Sniffer Pro中设置QQ过滤器）

Ethereal
Ethereal（这里的版本是0.10.13）也不支持QQ协议，所以我们需要在Ethereal中添加捕获端口8000的QQ过滤器，如图3。

03.gif (23.25 KB)
2006-12-28 10:33


（图3  在Ethereal中设置QQ过滤器）

我们设置好过滤器，将三款分析软件同时开始捕获数据包，并使用QQ软件进行登陆上线，发送消息，接受消息，下线退出等操作后，停止捕获。

现在我们来看看这三款软件对该过程的分析情况：

科来网络分析系统
科来网络分析系统支持 QQ协议，我们可以从协议统计视图和数据视图来查看，如图4和图5。

04.gif (30.88 KB)
2006-12-28 10:33


（图4  协议统计视图）

从图4可以看到，科来网络分析系统能够分析QQ的具体动作，如Login、 Logout、Keep Alive、Receive Message、Send Message、Other。而且每个动作在科来网络分析系统中都以不同的颜色来显示，非常清晰。

而在数据包视图中，列出了QQ在各个动作的数据包信息，通过协议列的颜色，我们也可以了解到，哪些数据包属于QQ的哪种动作。当然，我们也可以使用节点浏览器进行显示过滤。如图5。

05.gif (38.83 KB)
2006-12-28 10:33


（图5  数据包视图）

Sniffer Pro
接下来，我们来看看Sniffer Pro中对QQ应用的分析情况。如图6。

06.gif (26.21 KB)
2006-12-28 10:33


（图6  Sniffer Pro中的数据包解码窗口）

Sniffer Pro不支持QQ协议，在捕获的QQ数据包中只能以UDP数据包来体现，如果我们需要对QQ进行分析，我们只能通过8000端口来辨别，而不能分析QQ的具体动作。

Ethereal
最后，我们来查看Ethereal对QQ应用的分析情况，如图7所示。

07.gif (28.95 KB)
2006-12-28 10:33


（图7  Ethereal窗口）

从图7中我们看到，Ethereal也不支持QQ协议，它只能将源端口和目标端口分别为4000（或8000）和8000（或4000）的数据包识别为ICQ数据包，但也没有对QQ的具体动作进行分析！

以上是我们使用科来网络分析系统、Sniffer Pro4.75、Ethereal对QQ应用的分析，
在这里我们并没有对QQ本身进行很深入的分析，只是借助三款目前流行的网络分析软件来分析QQ的具体应用。通过上面的分析，我们发现科来网络分析系统在QQ的应用分析方面比另外2款软件要做的好一些。

1e3e

n年前的资料了，以前看过的，里面的好多知识实践一下都知道实际上是行不通的