NetXray使用说明之(6)----捕捉oicq message报文 (转)
scz 于 00-5-9 下午 12:17:39 加贴在 灌水乐园:
标题.NETXray使用说明之(6)----捕捉oicq message报文
NetXray发包前可以在decode状态下编辑,sniffer pro 2.6却不象NetXray那样
善解人意,只能进行二进制编辑。sniffer pro的Add Pattern里的TAB键极其混
帐,并且这里也不提供decode支持。始终不能理解这些地方。不过破解版的
NetXray在decode时有些地方对不准,菜单window也不时失灵。
暂略(回头补吧,没时间了)
今天讲讲oicq message报文的捕捉。
1. 首先设置进行IP/UDP报文过滤,IP/TCP暂时就不必了,因为oicq message报文多
是IP/UDP报文,我还没有看到过IP/TCP,应该是没有的。
2. 根据需要在Address/ip Include里设置通信双方的IP,假设我们需要捕获所有与
本机oicq.exe通信的oicq message报文,设置成 myIp
3. 进入Data Pattern设置页,用<< NetXray使用说明之(2) >>里的办法指定
( ( srcPort == 4000 ) && ( dstPort != 8000 ) )
||
( ( srcPort != 8000 ) && ( dstPort == 4000 ) )
第一条的意思是本机向别人发消息,第二条是别人向本机发消息,之所以排除掉
8000,你可以进入oicq chat room看看此时涉及的端口。那么为什么不指定两头
都是4000呢,因为如果过了透明网关之类的,UDP RELAY的时候会改变源端口,
一般都不会是4000了。反过来,如果你发现一个入包的源端口不是4000,他/她应
该在类似sygate的代理后面。不过此时UDP DATA PIPE已经建立,即使他/她在
sygate后面,还是可以利用刚才抓到的IP/PORT和他/她通信,意味着很多事情都
可能发生。
这里假设都通过oicq.exe通信,如果用自己写的程序与oicq.exe通信,源端口不
必非是4000,可以任意指定。
4. 算了,还是详细说说条目3中高级过滤规则的指定
a. 用Toggle AND/OR把最上层调成OR
b. 选中OR,然后Add AND/OR增加两个上去,分别用Toggle AND/OR调成AND
c. 选中第一个AND,然后Add Pattern,选中增加的Pattern,选择
Packet 34 2 Hex,从1开始输入 0F A0,就是0x0fa0的意思,
srcPort == 4000
d. 选中第一个AND,然后Add NOT,选中增加的NOT,用Toggle NOT确认已经调成
NOT,选中NOT,然后Add Pattern,选中增加的Pattern,选择
Packet 36 2 Hex,从1开始输入 1F 40,就是0x1f40的意思,
dstPort != 8000
e. 选中第二个AND,重复"类似"c、d的步骤,分别指定srcPort != 8000以及
dstPort == 4000
f. 选中最上层的OR,看看summary,是否符合你预想的逻辑表达式,如果不符合,
继续调整,直至正确。
虽然这里是针对oicq.exe设置高级过滤规则,但这是一个很完整而又略显复杂的设置
说明,对<< NetXray使用说明之(2) >>是个很好的补充。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10790690/viewspace-956719/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/10790690/viewspace-956719/
NetXray使用说明之(6)----捕捉oicq message报文 (转)相关推荐
- 计算机网络-实验三:使用网络协议分析器捕捉和分析协议数据包
一.实验目的 (1) 熟悉ethereal的使用 (2) 验证各种协议数据包格式 (3) 学会捕捉并分析各种数据包. 二.实验环境 安装了TCP/IP协议的Windows系统,包含实用的网络工具. 三 ...
- 数据帧,数据包,报文段,报文,分组,数据包的概念和区别
应用层--消息 传输层--数据段(segment) 网络层--分组.数据包(packet) 链路层--帧(frame) 物理层--P-PDU(bit) 分组.包,packet,信息在互联网当中传输的单 ...
- BGP——邻居状态机+报文分析(总结)
一.BGP邻居状态机: 1.1 idle状态:空闲状态,对方邻居没有起来 1.2 connect: 正在建立TCP连接(被动),如果一旦建立好就进入open-sent状态,如果建立不成功进入 acti ...
- Packet Sniffing and Spoofing Lab(报文嗅探欺骗SEED 实验)
Packet Sniffing and Spoofing Lab 本次实验的目的有两点:学习使用报文嗅探&欺骗的工具.理解其背后的原理. 实验配置 本次实验使用处在同一局域网下的三台机器,使用 ...
- HTTPS工作原理及报文讲解
1 HTTPS 1.1 HTTPS简介 HTTPS (Secure Hypertext Transfer Protocol)安全超文本传输协议,是一个安全通信通道,它基于HTTP开发用于在客户计算机和 ...
- 简单介绍sip协议message方法
简单介绍sip协议message方法 实验环境 报文交互过程 实验环境 通过实验抓取message报文进行分析. sip server采用的是brekeke(可以官网免费下载,获取60天使用).具体安 ...
- HCIP网工数通Datacom之网工拆分(1)理论和基础命令
目录 1. OSI模型 2. TCP/IP模型 3. IP传输原理 4. 网关三要素: 5. DNS 6. wireshark 抓包 7. arp 简介 8. 二进制和十进制转换 9. ipv4地址 ...
- HCIA网工数通Datacom之网工初级
1. OSI模型 定义:open system interconnection 开放式系统互联 规定了很多网络标准,目的是为了促进各个厂商各 个系统之间的互联互通. 注意:由于osi模型设计冗杂,编程 ...
- 最详细的***教程 下
第十七章------关于后门和*** 简单说明: 后门一般是指一个系统或是应用软件存在的一些设计缺陷,或是设计人员为了方便解决问题而特别留下的后门,总之无论怎么样?如果后门被其他人知道,或是在发布软件 ...
- HTTP上传文件的总结
因为工作中做个客户端,需要和web后端打交道,用的都是http的接口.对http接口也不是很熟,就自己搭个环境测试了解这个过程. 后端就随便选用一个可以用的框架就好了.框架反正都是调用api基本都是一 ...
最新文章
- 谈谈设计不足(under-engineering)与过度设计(over-engineering)
- java创建文件和目录
- 汇编语言(三十三)之四进制转十进制
- KITTI自动驾驶数据集可视化教程
- github上成员贡献量_真祖传代码!你的GitHub代码已打包运往北极,传给1000年后人类...
- android spi读写不通,Android-SPI学习笔记
- y币充值通道_比特币如何扩容?读懂比特币链下扩容技术进展与投资现状
- jedis操作set_使用 JedisAPI 操作 Redis
- css中绝对定位和浮动的异同
- 可见面判别算法---深度排序算法
- python消息中间件activemq_python 发送和接收ActiveMQ消息的实例
- 基于java+springboot+mybatis+laiyu实现学科竞赛管理系统《建议收藏》
- 如何设计一个好看的 404 错误页面 ?
- 如何用两个栈实现一个队列
- 鼠标失灵,但鼠标和USB接口都是好的的情况。
- linux 脚本 expected,使用expect实现shell中scp自动输入密码
- Python调用pywin32模拟触屏滑动 刷宝视频,自动刷视频python
- 深度解析——图片加载到内存中的大小计算内存优化
- 计算机睡眠状态能挂游戏,windows10睡眠挂游戏
- LabelImg打开图片报错:Error opening file