sniffer pro 绿色版

科来网络分析系统、Ｓｎｉｆｆｅｒ Ｐｒｏ、Ｅｔｈｅｒｅａｌ三大分析软件之ＱＱ应用分析比较

版权所有 ？ ２００６ 科来软件． 保留所有权利 第１页 共８页

ＴＳ－０６－００３６

科来网络分析系统、SnifferPro、Ethereal

三大分析软件之QQ应用分析比较

版权所有©2006科来软件保留所有权利。

本文档属商业机密文件，所有内容均为科来软件技术支持部独立完成，属科来软件内部

机密信息，未经科来软件做出明确书面许可，不得为任何目的、以任何形式或手段（包括电

子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、修改、存储、引入检索

系统或者传播。

科来软件

电话：86-28-85120922

传真：86-28-85120911

网址：

电子邮件：support@

地址：成都市高新区九兴大道６号高发大厦Ｂ幢１Ｆ

科来网络分析系统、Ｓｎｉｆｆｅｒ Ｐｒｏ、Ｅｔｈｅｒｅａｌ三大分析软件之ＱＱ应用分析比较

版权所有 ？ ２００６ 科来软件． 保留所有权利 第２页 共８页

我们知道，ＱＱ是目前国内非常流行的即时通讯软件，通过ＱＱ，我们可以与远在天涯海

角的朋友聊天、视频、传送照片文件等。我们知道，ＱＱ使用的是它自己的协议，即ＱＱ协议，

且ＱＱ协议是基于ＵＤＰ进行传输的，同时腾讯公司将对该协议进行了加密。

加密了，我们就不能对它进行分析了吗？当然不是，加密只是对聊天内容的加密，但对

于ＱＱ的其他应用操作，我们还是可以进行分析的，比如ＱＱ登陆上线，发送信息，接收信息，

下线退出等操作。下面我们就使用科来网络分析系统、Ｓｎｉｆｆｅｒ Ｐｒｏ、Ｅｔｈｅｒｅａｌ三款流行的

网络分析软件来了解ＱＱ的具体应用情况。

在这里我们使用ＱＱ默认登陆方式，即使用ＵＤＰ的８０００端口。我们分别打开科来网络分

析系统、Ｓｎｉｆｆｅｒ Ｐｒｏ、Ｅｔｈｅｒｅａｌ这三款分析软件，为了减少其他的干扰数据，分别给它们

设置ＱＱ过滤器，只捕获ＱＱ的数据包。过滤器设置如下：

l科来网络分析系统

科来网络分析系统支持ＱＱ协议，所以我们直接在过滤器中选择ＱＱ协议，如图１所示。

当然，我们也可以端口过滤器来实现此目的（略）。

科来网络分析系统、Ｓｎｉｆｆｅｒ Ｐｒｏ、Ｅｔｈｅｒｅａｌ三大分析软件之ＱＱ应用分析比较

版权所有 ？ ２００６ 科来软件． 保留所有权利 第３页 共８页

（图１ 在科来网络分析系统中设置ＱＱ过滤器）

lＳｎｉｆｆｅｒ Ｐｒｏ

Ｓｎｉｆｆｅｒ Ｐｒｏ（这里的版本是４．７．５）不支持ＱＱ协议，所以我们在Ｄａｔａ Ｐａｔｔｅｒｎ中设

置源端口或目标端口为８０００的ＱＱ过滤器，如图２。

（图２ 在Ｓｎｉｆｆｅｒ Ｐｒｏ中设置ＱＱ过滤器）

lＥｔｈｅｒｅａｌ

Ｅｔｈｅｒｅａｌ（这里的版本是０．１０．１３）也不支持ＱＱ协议，所以我们需要在Ｅｔｈｅｒｅａｌ中添

加捕获端口８０００的ＱＱ过滤器，如图３。

科来网络分析系统、Ｓｎｉｆｆｅｒ Ｐｒｏ、Ｅｔｈｅｒｅａｌ三大分析软件之ＱＱ应用分析比较

版权所有 ？ ２００６ 科来软件． 保留所有权利 第４页 共８页

（图３ 在Ｅｔｈｅｒｅａｌ中设置ＱＱ过滤器）

我们设置好过滤器，将三款分析软件同时开始捕获数据包，并使用ＱＱ软件进行登陆上

线，发送消息，接受消息，下线退出等操作后，停止捕获。

现在我们来看看这三款软件对该过程的分析情况。

l科来网络分析系统

科来网络分析系统支持 ＱＱ协议，我们可以从协议统计视图和数据视图来查看，如图４

和图５。

科来网络分析系统、Ｓｎｉｆｆｅｒ Ｐｒｏ、Ｅｔｈｅｒｅａｌ三大分析软件之ＱＱ应用分析比较

版权所有 ？ ２００６ 科来软件． 保留所有权利 第５页 共８页

（图４ 协议统计视图）

从图４可以看到，科来网络分析系统能够分析ＱＱ的具体动作，如Ｌｏｇｉｎ、 Ｌｏｇｏｕｔ、Ｋｅｅｐ

Ａｌｉｖｅ、Ｒｅｃｅｉｖｅ Ｍｅｓｓａｇｅ、Ｓｅｎｄ Ｍｅｓｓａｇｅ、Ｏｔｈｅｒ。而且每个动作在科来网络分析系统中都

以不同的颜色来显示，非常清晰。

而在数据包视图中，列出了ＱＱ在各个动作的数据包信息，通过协议列的颜色，我们也

可以了解到，哪些数据包属于ＱＱ的哪种动作。当然，我们也可以使用节点浏览器进行显示

过滤。如图５。

科来网络分析系统、Ｓｎｉｆｆｅｒ Ｐｒｏ、Ｅｔｈｅｒｅａｌ三大分析软件之ＱＱ应用分析比较

版权所有 ？ ２００６ 科来软件． 保留所有权利 第６页 共８页

（图５ 数据包视图）

lＳｎｉｆｆｅｒ Ｐｒｏ

接下来，我们来看看Ｓｎｉｆｆｅｒ Ｐｒｏ中对ＱＱ应用的分析情况。如图６。

科来网络分析系统、Ｓｎｉｆｆｅｒ Ｐｒｏ、Ｅｔｈｅｒｅａｌ三大分析软件之ＱＱ应用分析比较

版权所有 ？ ２００６ 科来软件． 保留所有权利 第７页 共８页

（图６ Ｓｎｉｆｆｅｒ Ｐｒｏ中的数据包解码窗口）

Ｓｎｉｆｆｅｒ Ｐｒｏ不支持ＱＱ协议，在捕获的ＱＱ数据包中只能以ＵＤＰ数据包来体现，如果我

们需要对ＱＱ进行分析，我们只能通过８０００端口来辨别，而不能分析ＱＱ的具体动作。

lＥｔｈｅｒｅａｌ

最后，我们来查看Ｅｔｈｅｒｅａｌ对ＱＱ应用的分析情况，如图７所示。

科来网络分析系统、Ｓｎｉｆｆｅｒ Ｐｒｏ、Ｅｔｈｅｒｅａｌ三大分析软件之ＱＱ应用分析比较

版权所有 ？ ２００６ 科来软件． 保留所有权利 第８页 共８页

（图７ Ｅｔｈｅｒｅａｌ窗口）

从图７中我们看到，Ｅｔｈｅｒｅａｌ也不支持ＱＱ协议，它只能将源端口和目标端口分别为

４０００（或８０００）和８０００（或４０００）的数据包识别为ＩＣＱ数据包，但也没有对ＱＱ的具体动

作进行分析！

以上是我们使用科来网络分析系统、Ｓｎｉｆｆｅｒ Ｐｒｏ４．７５、Ｅｔｈｅｒｅａｌ对ＱＱ应用的分析，

在这里我们并没有对ＱＱ本身进行很深入的分析，只是借助三款目前流行的网络分析软件来

分析ＱＱ的具体应用。通过上面的分析，我们发现科来网络分析系统在ＱＱ的应用分析方面比

另外２款软件要做的好一些。