QQPIF

TCPF:

TCPF是建立在UDP协议上的协议族，主要支持文字聊天功能。TCPF是以请求－响应模式工作的。也就是说，客户端发出一个请求，服务器端会给出一个相应的响应；服务器向客户端发送信息，客户端也会给服务器相应的响应。请求和响应通过相同的序列号来进行配对（请求代码也应该相同）。而且每种请求的发起方都是相同的。目前，已知的请求包括：

0x0001  注销登录
0x0002  心跳信息
0x0004  更新用户信息
0x0005  搜索用户
0x0006  获取用户信息
0x0009  不需认证方式添加好友
0x000a  删除好友
0x000b  需要认证的方式添加好友
0x000d  设置隐身、示忙等状态
0x0012  确认收到系统消息
0x0016  发送消息
0x0017  收到消息（服务器发起）
0x001a  未知作用。
0x001c  在对方好友列表上删除自己
0x001d  未知作用。
0x0022  登录
0x0026  获取好友清单
0x0027  获取在线好友
0x0030  群操作指令
0x0080  收到系统消息（服务器发起）
0x0081  收到好友状态改变消息（服务器发起）
QQ登录的过程心中有数。

        首先QQ客户端向服务器发送一个请求登录令牌的数据包，服务器返回登录令牌。这个令牌是在服务器端生成的，和客户端的IP地址、版本信息等数据相关，以后会用到这个令牌去进行其他操作。在QQ客户端得到登录令牌之后，就会向服务器发送一个包含登录信息的登录请求要求登录。服务顺会首先看看客户端的号码IP地址和版本是否可以在本服务器上进行登录，如果可以的话，就把客户端的登录信息与服务器上保存的登录信息进行比较，匹配的就向客户端返回一个登录成功的数据包，不匹配返回登录失败。因为QQ的服务器有很多台，可能要分管不同的QQ版本、IP等，所以如果客户端的号码、IP地址和版本无法在本服务器进行登录，服务器就返回一个重定向包，让客户端去另外一台服务器登录。其实整个QQ登录过程就是这么简单的两个步骤。

 QQ数据报文总的格式

        QQ数据是通过UDP方式传输的，服务器的默认端口号是8000，所有的QQ发送的报文格式如下：

                   

字节 内容及含义
0 报文的开头，大部分都是0x02，也有0x0,0x03,0x04,0x06，与登录有关的报文的包头是0x02
1--2 两个字节的以网络字节顺序表示的QQ版本号
3--4 两个字节的以网络字节顺序表示的命令号
5--6 指令序列号。QQ的指令总是成对出现的，也就是说，一方发出一个命令，将会收到另一方的同样序列号的应答。另外，发送方每条指令的序列号都是上一条指令的加一。有两个方面要注意的是，每一方都维持自己的序列号，也就是说，客户端的当前序列号和服务器的当前序列号是不一致的，当客户端为指令发出方的时候，它使用自己的当前序列号，而服务器作为应答方，在应答的时候使用的接受到的命令的序列号；反之，如果是服务器是指令的发出方，那么它就使用自己的当前序列号，而不用理会客户端上一条指令的序列号。另外一个事情是，由于服务器会同时和多个客户端通信，所以，对每个客户端收到的服务器指令的序列号不是连续的，序列号的连续性不应该作为丢包的判断依据。另外，通信开始客户端的第一个序列号是随机选取的，但似乎没有发现大过0x00ff的。最后的退出登录数据包总是使用0xffff作为序列号，而且是不会有应答的。
7--N 具体的数据，可能加密也可能不加密。
 
 N+1 包尾，绝大部分是0x03，但有时也是没有的情况，要根据包头判断。

 

        获得登录令牌

        获得登录令牌的报文格式如下：

字节 内容及含义
0 包头：0x02
1--2 网络字节顺序表示的QQ版本号
3--4 请求登录令牌的命令号：0x0062
5--6 指令序列号，可以随机的
7--10 网络字节顺序的QQ号
11 未知字节：0x00
12 包尾：0x03

        下面这个就是我获取到的QQ请求登录令牌的数据：02  0e  2d  00  62  63  e2  27  04  0d  f6  00  03  ，其中0x0e2d就是登录QQ的版本号，0x27040df6为登录的QQ号：654577142。

        如果成功，服务器会返回数据，这时要检查收到的数据的命令号是否也为0x0062，并且序列号是否为发送是租用的序列号。如果不是，表示有错误，可以继续接收下一个包，直到超时。

       回应包的格式如下：

字节 内容及含义
0 包头：0x02
1--2 服务器标识：0x0000(一般都是)
3--4 0x0062
5--6 序列号，和刚才发往服务器的是一样的
7 0  表示成功
8 令牌数据的长度
9--N 令牌数据
N+1 包尾：0x03

        下面的是我抓到的一个包：

                                                    02  00  00  00  62  63  e2  00 
                                                    18  73  a3  b6  97  09  23  e3 
                                                    79  84  4c  d6   f0   c7  31  92 
                                                    b4  00  eb  89  d7  4e  df   0b 
                                                    9f   03

        0x18表示令牌的数据长度：24，蓝色部分数据就是服务器返回的登录令牌。

 

  
  推荐栏目 | Sniffer | Ethereal | IPV6 | IPTV | MPLS | TCP/IP | SNMP | WLAN | 中文RFC文档 | 编码交流 | 
　 　
 
  
 
您现在的位置： 首页>>协议分析>>协议分析技术>>其它技术>>正文
 
 
 
  
 

  
 
QQ协议分析之TCPF包结构
 
 
  
 

 
  
 

 

包结构类型：

TCPF包我们把它分为５类：

登录请求包（LIP，LogIn Packet），它是由客户端向服务器发出登录请求的数据包。

登录应答包（LRP，Login Reply Packet），它是由服务器响应客户端登录请求的数据包。

注销请求包（LOP，LogOut Packet），它是由客户端向服务器发出注销登录请求的数据包，服务器对这个包不作应答。

客户端其它包（CSP，Client Sent Packet），它是由客户端向服务器发送的其它包。

服务器其它包（SSP，Server Sent Packet），它是由服务器向客户端发送的其它包。

包头：

所有TCPF包的前7个字节是包头，包头可以识别TCPF包的内容。包头的格式为：

第０字节：TCPF包标识：0x02。

第１－２字节：发送者标识。如果是0x01 0x00，表明是由服务器发送。客户端的标识与所使用的使用的QQ版本有关，目前最新版本QQ2003(0808)的标识为0x0A 0x1D。具体的协议的格式与这个字段所标识的客户端版本有关。目前我们以这个最新的0A1D版本来讨论。

第３－４字节：命令编号。具体的命令编号含义在《QQ协议概述》（Protocol Overview.rtf）中有描述。如果这个字段是0x00 0x01，那么这是一个注销请求包。如果这个字段是0x00 0x22，而发送者标识是0x01 0x00，那么这是一个登录应答包。如果这个字段是0x00 0x22，而发送者标识是其它（例如0x0A 0x1D），那么这是一个登录请求包。其它的命令代码表明是其它包，我们通过发送者标识来区分它是CSP还是SSP。

第５-6字节：命令序列号。客户端和服务器都有各自的当前发送序列号。每初始发出一个指令的时候，使用当前的序列号，然后把当前序列号加一，如果超过0xFFFF，就绕回。如果是响应对方发出的命令，则使用这个命令的序列号。例如，客户端当前的序列号为0x1110，它向服务发送一个0x0016命令，它使用0x1110这个序列号，服务器收到以后，返回一个序列号为0x1110的0x0016命令响应。下一次，客户端又发送一个0x0026命令，这一次它使用加一了的序列号0x1111，服务器也响应0x1111序列号的一个0x0026命令响应。如果这是服务器要向客户端发送0x0017命令，它使用它自己的当前序列号，比如说0x2220，客户端收到以后，也响应一个序列号为0x2220的0x0017命令应答。我们可以通过序列号来判断发出的指令是否已经得到了应答，如果没有，可以重发。服务器对收到的命令的序列号顺序没有要求。服务器也不会一定按照发出的顺序给予应答。

包尾：

所有的TCPF包都以0x03作为包尾。在包头和包尾中间的包数据则不同类型的包有所不同。

 

LIP包：

登录请求包的包数据格式为：

第7-10字节（4 bytes）：发出登录请求的QQ号码。这是一个Big Endian（高位在前）的unsigned long型数值。例如：0x01 0x82 0x5D 0x90就是0x01825D90，转换为十进制是25320848，表明发出请求的QQ号是25320848。

第11-26字节（16 bytes）：随机密钥。这个密钥由于加密后面的数据。QQ使用TEA算法来加密数据。它使用的是128bit（16 bytes）的密钥。在0A1D版本中，这个密钥已经固定为16个01。

第27-106字节（80 bytes）：加密后的登录包数据。

LRP包：

从第7字节开始到包尾前：加密的登录应答包数据。解密的密钥随客户端版本的不同，有不同的可能。在旧有版本中，使用登录包的随机密钥，在后期的版本，使用用户QQ密码的MD5 Digest。在0A1D中，使用QQ密码的MD5 Digest的MD5 Digest（这体现了腾讯有多么的愚昧和无耻，为了改变而改变）。LRP包内数据很重要的是16个字节的Session Key，它用来作为以后通讯的加密密钥。

LOP包：

它的序列号总是0xFFFF。不过，在新的版本中，好象已经没有了这个要求。

第7－10字节（4 bytes）：发送注销登录请求的QQ号码。

第11字节到包尾前：加密的注销登录包数据。使用Session Key作为密钥。

CSP包：

第7-10字节（4 bytes）：发送请求的QQ号码。

第11字节到包尾前：加密的包数据。使用Session Key作为密钥。

SSP包：

从第7字节开始到包尾前：加密的服务器发送包数据，使用Session Key作为密钥。

QQ加密算法概述：

QQ使用的加密算法来源于一种称为TEA（Tiny Encryption Algorithm）加密算法。它是在1994年由英国剑桥大学的David Wheeler和Roger Needham所发明的一种加密方法。大概来说，它是使用128bit密钥加密64bit数据产生64bit输出的一种算法。这种算法的可靠性是通过加密轮数而不是算法的复杂度来保证的。具体的算法可以参考：http://www.ftp.cl.cam.ac.uk/ftp/papers/djw-rmn/djw-rmn-tea.html。实现可以参考：http://abcn.net/crypto.htm。

QQ使用16轮的加密（这是最低限，推荐应该是32轮）。

QQ在使用这个算法的时候，由于需要加密不定长的数据，所以使用了一些常规的填充办法和交织算法（也就是说，把前一组的加密结果和后一组的进行运算，产生新的结果）。

具体的填充算法是：原始字符串加上8个字节再加上填充字符数应该是8的倍数（至少填充2个字节）。填充后的字符串是这样组织的。第一个字节，为填充字符数减2 OR 上0xA8。后面是填充字节。然后是待加密的数据，最后是7个0。填充的字节一般是0xAD，但再0A1dD版本中，会使用随机的填充字符串。一般，我们会用解密后最后是否7个零来判断是否正确的解密。

交织算法：第一个64bits块，按照一般的TEA加密。下一个64bit块与上一组的加密结果XOR生成待加密数据，加密后与上一组的待加密数据XOR生成加密结果。