QQ for linux不用udp8000端口？

学习使用wireshark抓包并分析

要求：至少能够读出你的QQ账号

环境交代：

本次操作我们采用Ubuntu下使用wireshark对QQforLinux进行抓包测试，同时对Windows下的QQ进行抓包，为了方便，我们采用wine来在Ubuntu下运行Windows下的QQ，并对比两者传输协议的区别

QQWindows下使用udp8000端口和OICQ协议进行传输
QQLinux下使用的传输协议未知

工具如下：

     Linux QQ 2.0.0 Beta2（刚好一年了-----2020年4月1日发布）       Ubuntu20.04wine5.0PCQQ2021.exewireshark3.2.3

WindowsQQ

在PCQQ2021.exe文件夹所在地点击在终端打开，输入wine PCQQ2021.exe（输入wine PC然后按Tab键，bash会自动补全）之后就像你在Windows下安装QQ一样，但是这里不用选择上面安装路径，就装在c盘也不影响，因为你用的是wine，一个容器而已。安装好之后，先别急，Ubuntu下要让wireshark能抓到你网卡上走过的包，必须要给他超级权限Ctrl+Alt+T打开终端输入sudo wireshark，输入密码，选择你的网卡,下面捕获那里，wlp那个就是网卡，其他的回环啊，蓝牙之类的没抓过，各位可以试一试。

选择wlp那一项，之后wireshark会直接开始抓包，然后打开wineQQ
之后扫描二维码登录你的QQ账号。刷新一下图片啊，点一下你的个人信息啥的，wireshark抓包抓个100-200条就算了，多了没意思。按那个红色按钮停止抓包。因为分析这里牵扯到网卡的MAC地址，当然你来看这个帖子，说明你知道或者即将知道MAC地址和IP地址，这种半隐私的东西，我就不放图了，马赛克啥的多麻烦呀。

注意只看udp8000和OCIQ的相关数据。
应用显示过滤器那里输入

 udp.port == 8000 || oicq

按右边那个箭头过滤。然后剩下的会有udp和oicq协议的，为什么在协议分组里会有oicq，这个显然不是我们今天该讨论的。点一个OICQ的帧，就像我下面，帧69的信息进行查看。

这个是截图之后再用GIMP图画了几下再截图的，可能有点糊，但是安全第一，绿色部分就是你的QQ账号了，至于OICQ-IM 是啥，你去查一查QQ的历史就知道啦。我们的重点不在此处。

QQforLinux

Ubuntu下打开qqforLinux下容易，抓包也和上面差不多，主要来说说问题：

记得将wine这个进程杀死，还有PCqq，在进程列表里面他会像Windows里面那样，C盘然后某某某，全部杀死。关于htop的使用和kill命令显然不是今天讲述的主要，改天交流。

你只执行一个登录操作，先不要去翻上面聊天图片啥的，你会发现，只有tcp协议的数据,嗯这是怎么回事？udp和OICQ都没有？udp和oicq筛选都没有记录了，一点关于你QQ的痕迹都看不到。

tcp.port==80

当你这次你结束上次抓包，新开始抓，这次你打开QQ，打开一个群，刷新那些图片，多翻翻历史信息，好停止抓取吧。

这次你再看：udp、oicq还是都没有，但是这次你再细看你会tcp80这个端口在一些帧的右下角的那堆密文里面，有你的QQ号，还有不要问我为什么把左边的这几排数字涂了，因为假设你把你的这个界面不涂，你的ip地址，mac地址，是可以算出来的，QQ号应该也可以算出来，至少前两个就已经可以把你玩废了。
但是，你在上面的分析里面。不会像在Windows里面那样看到OICQ那一部分的信息，也就没办法明显的看到你的QQ号。

之前我尝试，还会捕获到一些关于gchat图床的信息，今天可能数据太多了，没看到。这里有一个超文本传输协议，有一个连接声明是保持在线。这就是为数不多的信息了。

总结

QQforLinux可能因为使用数量少，所以采取和WindowsQQ不同的传输协议。WindowsQQ为了保证信息的及时采用udp，而LinuxQQ，用的人少了，tcp就tcp吧。哎，终究是错付了。QQforLinux上次更新，已经刚好一年了。