自从腾讯公司1999模仿ICQ,推出OICQ后,一时间QQ的小企鹅占领了几乎所有中国所有电脑的桌面,因此QQ通讯的协议也引起了网络监控界的关心,因为要禁止或者阻止QQ聊天,必须需要分析QQ的协议,仅仅通过添加QQ的服务器是行不通的,因为QQ的服务器可以无限制的增加,一般人不可以随时跟踪到QQ服务器的变化,而禁止QQ。
1、 QQ登陆
要禁止QQ登录必须知道QQ连接服务器的方式,它主要有3种方式:1.通过本机UDP:4001开始的端口连接服务器UDP 8000端口;2.通过本机任意端口连接服务器80端口;3.通过本机任意端口连接服务器443端口。
2、QQ定时器:
QQ大约每相隔20秒左右回向服务器发送一个心跳信息。包头(QQ通过UDP传输时,包头具有以下格式):前7个字节是包头,包头可以识别包的内容。包头的格式为:
第0字节:包标识:0x02。
第1-2字节:发送者标识。如果是0x01 0x00,表明是由服务器发送。 客户端的标识与所使用的使用的QQ版本有关,目前最新版本QQ2005(0x0c57)的标识为0x0c 0x57。 具体的协议的格式与这个字段所标识的客户端版本有关。目前我们以这个最新的0A1D版本来讨论。
第3-4字节:命令编号。具体的命令编号含义在下面有描述。 如果这个字段是0x00 0x01,那么这是一个注销请求包。如果这个字段是0x00 0x22, 而发送者标识是0x01 0x00,那么这是一个登录应答包。如果这个字段是0x00 0x22,而发送者标识是其它(例如0x0A 0x1D), 那么这是一个登录请求包。其它的命令代码表明是其它包,我们通过发送者标识来区分它是CSP还是SSP。
第5-6字节:命令序列号。客户端和服务器都有各自的当前发送序列号。每初始发出一个指令的时候,使用当前的序列号,然后把当前序列号加一,如果超过0xFFFF,就绕回。如果是响应对方发出的命令,则使用这个命令的序列号。例如,客户端当前的序列号为0x1110,它向服务发送一个0x0016命令,它使用0x1110这个序列号,服务器收到以后,返回一个序列号为0x1110的0x0016命令响应。下一次,客户端又发送一个0x0026命令,这一次它使用加一了的序列号0x1111,服务器也响应0x1111序列号的一个0x0026命令响应。 如果这是服务器要向客户端发送0x0017命令,它使用它自己的当前序列号,比如说0x2220,客户端收到以后,也响应一个序列号为0x2220的0x0017命令应答。我们可以通过序列号来判断发出的指令是否已经得到了应答,如果没有,可以重发。服务器对收到的命令的序列号;顺序没有要求。服务器也不会一定按照发出的顺序给予应答。
QQ命令定义: 0x0001 注销登录 0x0002 心跳信息(禁止QQ,这个命令相当重要) 0x0004 更改用户信息(包括密码等) 0x0005 搜索用户 0x0006 获取用户信息 0x0009 添加好友--不需认证 0x000a 删除好友 0x000b 添加好友--需要认证 0x000d 改变状态 0x0012 确认收到系统消息 0x0016 发送消息(禁止QQ,这个命令相当重要) 0x0017 收到消息(禁止QQ,这个命令相当重要) 0x001a 未知 0x001c 在对方好友列表上删除自己 0x001d 未知 0x0022 登录 0x0026 获取好友清单 0x0027 获取在线好友 0x0030 群操作指令 0x0080 收到系统消息 0x0081 收到好友状态改变消息
在分析的上面的协议的后,著名QQ聊天监控软件:ANYVIEW(网络警)QQ聊天内容监控软件可以完美控制QQ的使用,和禁止QQ一些功能和监控QQ聊天行为的使用。还可以监控钉钉聊天,微信聊天内容监控等。
|