2009年8月3日星期一

[GFW Blog] QQ也会偷偷上传?传了什么?一起来看看吧!

来源:计算机应用技巧资讯站

大概08年12月起,有朋友说他的QQ会有20K左右的上传带宽,但是有时有有时没有。09年1月初,论坛也有朋友说他的QQ会上传。于是我自己的在春节 左右也发现了这个问题,遂查之,看看QQ对我什么东西感兴趣。这个问题发生在打开网络硬盘后,就马上会有20K的流量产生,多个用户的QQ将耗尽同网的ADSL那可怜的上传带宽!非常不厚道!

        系统环境:windowsxp sp2,Antivir杀毒软件,除此驻留外没有任何上传下载的进程。
        首先当然是打开QQ2008了,这时候检查路由器,发现仅有2个目标端口是8000的连接,8000是干嘛的?地球人都知道。 见下图:

                 


       这个时候只有0.0几K的流量,说明一切正常。然后我们打开网络硬盘,一下看到上传就到了18KB+




       如果把QQ离线,仍然有上传


        看本地连接的图也可以看到具体的情况,可以发现发送和收到是不正常的,判断是否中毒也可以采用这个方法判断,那就是,个人用户如果发送的包比收到的包要多,你的机器一定有问题。注意了,这里的局限是个人用户,如果你是服务器就有可能是这样的情况。

        打路由器里面看看QQ到底给谁发了数据包,见下图:


上图中,有箭头指示的两个红框是这次上传中记录下来的远程IP地址和端口,生存时间和当前上传统计量也清楚的表明这个连接是最近才生成的,而且带宽就是这个连接占用的。下面红框的两个连接就是一开始打开QQ所生成的服务器连接和验证。看一下这个IP是哪的:


回到主题,这个20K的连接在干吗?拿出抓包软件Wireshark:


一抓包的瞬间得到了N个包,大概有2000多个,里面表明的目标端口和IP和路由的查看一致,不过,郁闷的是,里面什么信息都没有,都是来自一个Cisco协议,SCCP,查了一下google,说SCCP是这样的:
引用

SCCP:Skinny Client Control Protocol(瘦小客户端控制协议)
瘦小客户端控制协议(SCCP:Cisco Skinny Client Control Protocol)是用于思科呼叫管理器及其 VOIP 电话之间的思科专有协议。有些供应商也支持该协议。在 VOIP 解决[url=javascript:;]方案[/url]中,要求 LAN 或者基于 IP 的 PBX 的终端机操作简单,易于上手且相对便宜。相对于 H.323 推荐的相当昂贵的系统,SCCP 定义了一个简单且易于使用的架构。通过 SCCP,H.323 代理可以与瘦客户机进行通信。

        看的一头雾水吧?很遗憾,我也不懂为什么QQ有这么多的SCCP出现。可以猜测的是,QQ可能需要收集一些信息,给以后的移动QQ视频和语音服务。查查filemon,也没看的出来QQ在上传什么具体的文件:


         对于抓包和上传研究就到这里,杜绝的方法是退出QQ进程并重新登录。找了一些资料,仍然没弄明白QQ和SCCP发生了什么不正当的关系以至于要隐藏在网络硬盘功能下面。



--
Posted By GFW Blog to GFW Blog at 8/03/2009 05:19:00 A
--~--~---------~--~----~------------~-------~--~----~
1、请点击www.chinagfw.org访问我们,订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、需要Psiphon2注册邀请的朋友,请向english@sesawe.net发送电子邮件请求,说明 "can I have psiphon2 access" 并告诉您所在的国家。也可以使用Twitter Direct Messages或登陆Psiphon网站直接向Psiphon索取使用邀请。3、GFW Blog现提供最新翻墙工具下载(地址一、二、三),翻墙(突破网络封锁)方法介绍请见本站anti-censorship部分。4、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。5、敬请关注、支持、参与Sesawe和黑箱监管集体诉讼。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN
-~----------~----~----~----~------~----~------~--~---

没有评论:

发表评论