Wireshark抓包qq分析
1.准备工作：打开Wireshark软件，登录qq。
2.选择抓包，打开qq与网友聊天，过一会停止抓包。
可以看到Wireshark的主窗口如下，它由3个面板组成，从上到下依次是packetlist(数据包列表)、packetdetails（数据包细节）和packetbytes（数据包字节）。

3.输入oicq进行筛选（oicq就是QQ的意思）


可以看出源地址是183.60.19.41；目标地址是10.66.49.67。
4.如果希望在packetdetails面板中查看一个单独的数据包的内容，必须先在packetlist面板中单击选中那个数据包，就可以在packetdetails面板中选中数据包的某个字段，从而在packetbytes面板中查看相应字段的字节信息。
这里我选择序号为699的数据包，双击鼠标查看数据

具体分析
数据链路层（以太网）

可以看出该路由器的厂商在Hangzhou（杭州）；该数据包的目标地址是50:46:5d:98:8a:2d，这是一个以太网的广播地址，所有发送到这个地址的数据都会被广播到当前网段中的所有设备；这个数据包中以太网头的源地址00:23:89:80:e3:00就是我们的MAC地址。
网络层（互联网协议）

可以看到IP的版本号为4；IP头的长度是20字节；首部和载荷的总长度是75字节（0x004b），00在前，4b在后，说明进行网络传输的时候是先传输高位再传输低位,即高字节数据在低地址，低字节数据在高地址；并且TTL（存活时间）域的值是52；还可以看出一台IP地址为183.60.19.41的设备将一个ICMP请求发向了地址为10.66.49.67的设备，这个原始的捕获文件是在源主机183.60.19.41上被创建的。
运输层（用户数据报协议UDP）

可以看出源端口是irdmi(8000),这在国内主要是QQ使用的端口号（irdmi表示为QQ聊天软件）；目标端口是53027；数据包字节长度为55字节；检验和显示为验证禁用，不能验证。
（4）单击OICQ-IMsoftware

可以看到自己登录的QQ号码925495994。
（5）查看传输数据
点鼠标右键，点“followUDPstream（根据UDP码流）”可查看传输数据

可以看到

说明qq聊天内容是加密传送的，需要知道加密算法才能破解。