wireshark捕获局域网内qq传输文件

wireshark原理

1.工作原理

Wireshark通过计算机的网络接口卡（NIC）在混杂模式（promiscuous mode）下运行。在这种模式下，网卡会接收局域网内所有传输的数据包，而不仅仅是发往这台计算机的数据包。由于网络上所有通信都是通过数据包来传输的，Wireshark能够捕获这些数据包，并通过解析还原出数据的实际内容。

2.捕获qq文件原理

QQ文件传输基于TCP协议或UDP协议，将文件拆分为多个数据包进行传输。通过局域网传输时，数据包会以IP包的形式在网络中进行传递。如果使用Wireshark捕获网络中的数据包，可以分析到这些TCP或UDP包，并通过它的协议解析功能将这些数据包还原，甚至重组成原始的文件传输内容。

3.缺陷

虽然Wireshark能够捕获QQ文件的传输数据包，但如果QQ对文件传输进行了加密，那么捕获的数据将是密文，无法直接解读文件的内容。（虽然qq9使用tcp协议加密，但对于局域网内传输的文件并未加密，所以可以使用wireshark抓取qq图片）有以下捕获过程

wireshark捕获qq文件过程

1.将qq与电脑接入同一局域网

2.打开wireshark，开始捕获流量

3.电脑打开qq，手机qq向电脑发送一张照片

4.停止捕获，发送端查看ip，输入ip.src==发送端ip

5.点击tcp，追踪流

6.由于jpg文件头是ffd8ff，在下方查找输入

7.查找到存在，将原始数据另存为新文件

8.使用winhex打开，由于截获的是网络数据包，所以前面是一段http响应头，将其删除，导出为新文件

9.可以看到图片成功打开

[up主专用，视频内嵌代码贴在这]