【以太网数据包】微信数据包

最新推荐文章于 2023-10-29 12:33:09 发布
最新推荐文章于 2023-10-29 12:33:09 发布
阅读量6k 收藏 2
点赞数 2
分类专栏: TCP/IP网络编程 文章标签: 微信 以太网数据包 深度报文分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012819339/article/details/52588288
版权

【以太网数据结构】系列文章链接
http://blog.csdn.net/u012819339/article/category/5849175

本次抓包主要针对微信app进行,时间是2016年9月

微信使用了一下几种协议
sync协议:(大量)在发送微信消息的时候会发现大量该协议的数据包
http协议:(大量)在访问微信朋友圈的时候会发现大量该协议的数据包,以及微信支付的时候(不要怀疑,在填写微信支付密码以及支付成功的过程抓包显示确实是走的http协议,而不是https,微信对http的post数据自行进行了加密)
ssl协议:(少数)在涉及到比较隐私的数据时会发现该协议的数据包,比如:其他app通过微信开发者平台提供的接口调起微信支付窗口的过程
unknown协议:(一般)叫这个名字是因为我确实不知道该私有协议叫什么名字,暂且称为unknown协议吧,在通过微信传输图片的时候发现大量该协议的数据
其他未知协议:微信app内部有很多模块,比如摇一摇,附近的人,发红包 等等,这些都可能有其对应的协议,目前还不能抓全

微信sync协议

先看看抓包数据:
这里写图片描述

微信sync协议头部有5部分组成,图中分别标出,解释如下:
1. 4字节 数据包长度(sync包头+sync包体),这个长度和tcp报文去掉tcp头的长度是相等的
2. 2字节 头部长度(一般为0x0010,即16字节)
3. 2字节 版本号(目前为0x0001)
4. 4字节 操作数
5. 4字节 序列号

程序中可以使用以下sync报头结构体

//author: arvik
//email: 1216601195@qq.com
//微信sync协议报头
typedef struct wx_sync_hr
{
   u_int32_t packet_len; /* 前4字节表示数据包长度,可变* */
   u_int16_t header_len; /*2个字节表示头部长度,固定值,0x0010*/
   u_int16_t thx_ver; /*2个字节表示版本,固定值,0x0001*/
   u_int32_t operation_code; /*4个字节操作说明数字,可变*/
   u_int32_t serial_number; /*序列号,可变*/
}__attribute__((packed, aligned(2))) wx_sync_hr_t;

微信unknown协议

先看看抓包数据:
请求包:
这里写图片描述
返回包,这里就只截图做个对比:
这里写图片描述

按照图中标出的顺序,解释如下:
1. 1字节 标识,一般为0xab,目前未见过其他值
2. 2字节 标识,一般为0x00
3. 2字节 报文长度,如果低于或等于tcp分段长度的话,这个值是和tcp报文数据部分长度是相等的(注意:第2、3部分有可能都表示报文长度,即:用4字节表示报文长度
4. 2字节 标识, 未知
5. 16字节 标识,一般都为0x00
6. 2字节 标识, 数据长度, = 总长度 - 头部长度(25字节)

程序中可以使用以下报头结构体:

//微信推送图片协议头,协议头部25字节
typedef struct wx_unknown_hr
{
    uint8_t ver; // 标识 一般为0xab
    uint16_t flag;// 标识 一般为0x0000
    uint16_t tot_len; //报文长度(包括报头,和tcp的数据长度是一样的)
    uint16_t seq; //标识,未知
    char unbuf[16]; //未知,一般全部为0x00
    uint16_t bodylen; //数据长度,一般为  tot_len - 25
}__attribute__((packed)) wx_unknown_hr;

微信http协议

微信http数据就比较多了,请求基本都是post方法,就不一一列举了,随便抓个包
这里写图片描述

它有个显著的特点,就是User-Agent字段为MicroMessenger Client,这是微信客户端特有的一个UA标识
另外,也可以通过host找到微信域名的关键字weixin来确认这是微信的数据包

微信ssl协议

ssl协议中往往包含的是http协议,所以整体就是https协议,可以通过ssl协议传输公钥中的域名来确定,不过用程序分析起来就比较麻烦了,一般做协议分析只分析到ssl协议包报头位置,并不深入确定某帧数据包ssl协议属于谁
抓个包看看:
这里写图片描述

证书中指定的域名为*.swiftpass.cn,实际抓包中发现在微信支付的过程中可能使用了该域名pay.swiftpass.cn,用站长工具查询该域名对应的ip为203.195.142.238,地址为香港腾讯云
这里写图片描述

另外,arvik还写了几篇关于深度报文分析的文章,里面讲解了基于开源框架opendpi的ndpi的源码框架以及协议分析器的编写,有兴趣的鞋童可以前去观看我的《智能路由器》专栏一探究竟!

时间仓促,错误难免,如果发现博客有误,欢迎指正!

好了,到此结束,作者arvik
【以太网数据结构】系列文章链接
http://blog.csdn.net/u012819339/article/category/5849175

arvik
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
以太网数据包TCP、IP、ICMP、UDP、ARP协议头结构详解
09-10
以太网数据包TCP、IP、ICMP、UDP、ARP协议头结构详解 以太网数据包TCP、IP、ICMP、UDP、ARP协议头结构详解
HttpClient模拟http浏览器请求
10-05
本人的测试用,包括压缩及解压缩,完整模拟,处女作,不想做伸手党
Python3:Python+spark编程实战 总结
热门推荐
proplume的博客
04-08 5万+
不宜妄自菲薄,引喻失义。 0、前提 0.1 配置 可参考: windows上配置 Python+spark开发环境 0.2 有关spark 说明: spark 不兼容 Python3.6 安装注意版本 可下载: anaconda4.2 一、实例分析 1.1 数据 student.txt 1.2 代码 #studentExample 例子 ...
关于校园网的多设备共享检测绕过
weixin_46874527的博客
10-29 1767
个人觉得修改ua用处不大,因为检测ua只能在由http包下,但现在基本都是走https,https是加密的,学校根本检测不了,即使有http包,里面的ua都是经过应用定制的,例如微信的http包的一种ua就是"提供x86的openwrt软路由固件,编译自lean的源码,我只加入了rkp-ipid和固定ttl,想加入ua2f的请自行编译。
【论文精读】《Classifying User Activities in the Encrypted WeChat Traffic》
weixin_43894455的博客
07-01 747
用户行为识别
如何判断微信内置浏览器 MicroMessenger
m0_37477061的博客
02-28 864
https://blog.csdn.net/zhangfeng1133/article/details/49011303
微信相关链接
tyasd
04-12 5538
http://short.weixin.qq.com/cgi-bin/micromsg-bin/bindopmobileforreg Cache-Control: no-cache Accept: */* User-Agent: MicroMessenger Client Content-Length: 289 Content-Type: application/octe
如何判断扫码的客户端是微信还是支付宝
weixin_30606461的博客
12-13 1426
User Agent格式 User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。 浏览器的 UA 字串 标准格式为: 浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) 渲染引擎标识 版本信息 微信APP:Mozilla/...
MessageClient
账号被盗!请勿在CSDN,回复任何消息.
02-28 592
using System;using System.Collections;using System.Windows.Forms;using System.Net;using System.Net.Sockets;using System.IO;using System.Text;namespace Common...{    public class MessageClient : Syst
通过userAgent是否包含MicroMessenger来判断是否在微信内置浏览器打开网页
ruanhongbiao的专栏
07-01 2万+
由于微信的种种封闭,导致在微信内置浏览器打开的页面,会把外部链接全部屏蔽掉. 所以通用的做法是,判断是微信浏览器打开的时候做一种处理方式. 非微信浏览器打开时做另外一种处理方式. 类似你想在微信打开页面里点击下载按钮,一定是不成功的.我们会友好的跳出一张引导图. 那么要做出这样的逻辑判断,我们就需要获取当前页面所在的环境是不是微信内置浏览器,如何判断? function isWei...
get_ethernet1_code.rar_以太网数据包
09-14
利用Libpcap开发包设计的以太网数据包的捕获源代码!
get_ethernet2_code.rar_以太网数据包
09-14
得到以太网数据包并进行处理(基于Lincap下)
一个以太网数据包嗅探工具和一个以太网数据包发送工具
11-26
两个工具可以兼容,而且都非常好用。本人切身体验过,非常爽!做以太网软件开发必备的两个工具!
ETH.zip_shareclient.exe_以太网包_以太网收发_以太网数据包_以太网通信
09-24
以太网通信用代码,可以用来进行以太网数据包的收发
以太网数据包捕获与转发技术
12-29
以太网数据包捕获与转发技术..............
四种以太网数据包详解.pdf
04-09
四种以太网数据包详解.pdf 四种以太网数据包详解.pdf四种以太网数据包详解.pdf
get_ethernet1_code.rar_Linux 以太网_数据包 linux
09-24
一个linux下获取以太网数据包的范例。
IP数据包通过以太网网络传输标准手册
08-26
IP数据包通过以太网网络传输标准手册
以太网数据包编码效率
最新发布
11-14
根据提供的引用内容,无法直接回答以太网数据包编码效率的问题。以太网是一种广泛使用的局域网技术,它定义了物理层和数据链路层的规范。以太网数据包格式包括目标地址、源地址、类型/长度、数据和校验和等字段。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值