[发明专利]一种针对飞信网络数据进行监控的方法

摘要

本发明公开了一种针对飞信网络数据进行监控的方法，包括以下步骤：S1：通过网络抓包方式获取网络数据包采集；S2：网络数据包解析，通过飞信数据包特征找到飞信数据，包括用户信息包、好友信息包、文本发送协议包和文本接收协议包；S3：对飞信不同数据包的处理结果封装为相应的JSON数据格式方便其他程序调用展示。本发明的有益效果如下：1、无需安装客户端，2、无需知道用户飞信密码，3、通过抓取、解析路由器上收发的网络数据包实现监控，保护隐私数据的信息安全。

主权项

1.一种针对飞信网络数据进行监控的方法,其特征在于包括以下步骤：S1：网络数据包采集；通过winPcap提供的相应接口抓取用户使用网络过程中产生的数据包，再通过相应端口和标识或地址初步过滤，拿到飞信数据包；S2：数据包处理；以下数据处理过程中创建startoffset记录数据偏移量，length记录属性长度，具体步骤如下：S2.1：用户信息包处理；S2.1.1：数据包标识判断，在偏移量0x03，长度为4处判断标识是否为“6E 4D 7E 44”，是则执行步骤S2.1.2，否则不再解析结束所有流程；S2.1.2：数据包第一位代表飞信数据包的标识信息长度5E，5E后0x02～0x19位为飞信数据包的标识信息；扫描数据填充长度为5E，5E后0x02～0x19位为飞信数据包的标识信息；S2.1.3：在扫描过程中，找到信息标识位位置，设N大于等于1，执行公式startoffset＝1飞信数据包的标识信息长度+94飞信数据包的标识信息+24*N个字节+1，通过用户信息包标识位“02 08”确定数据包是否正确，若找不到该标识位说明该数据包不是用户信息数据包，不再解析结束所有流程，若找到则执行S2.1.4；S2.1.4：用户信息解析，在偏移startoffset＝startoffset+0x17位置处是用户第一个属性值标识开始，以该位置开始获取用户手机号码、用户邮箱、用户昵称、用户生日的标识位、属性长度、属性值；S2.2：好友信息包处理；S2.2.1：飞信包标识判断，判断方法与S2.1.1相同；S2.2.2：获取数据包长度，数据包前两位偏移量startoffset＝0x00为数据包长度；S2.2.3：好友信息包标识判断；偏移量startoffset＝0x1a，通过判断startoffset＝startoffset+6处的值减2是否为8的倍数来确定是否为好友信息包，若不是则不再解析结束所有流程；S2.2.4：好友信息解析，在偏移startoffset位置处获取用户第一个属性值标识，以该位置开始按顺序获取好友邮箱、好友账号、好友手机号、好友昵称的标识位、属性长度和属性值；S2.3：文本发送协议包处理；S2.3.1：飞信包标识判断，方法与S2.1.1相同；S2.3.2：获取数据包长度，方法与S2.2.2相同；S2.3.3：文本发送协议解析，在偏移startoffset＝0x1a位置处获取用户第一个属性值标识；以该位置开始按顺序获取文本信息类型、文本信息内容、文本信息状态、信息MD5值、文本接收者邮箱、文本发送者昵称、发送者邮箱和bubbleId的标识、属性长度和属性内容；S2.4：文本接收协议包处理；S2.4.1：飞信包标识判断，方法与S2.1.1相同；S2.4.2：获取数据包长度，方法与S2.2.2相同；S2.4.3：文本接收协议包标识判断，偏移量为startoffset＝0x1a，判断startoffset＝startoffset+6处的值减2是否为8的倍数来确定是否为文本接收协议包，若是执行S2.4.4,若不是则结束；S2.4.4：文本接收协议解析，在偏移startoffset位置处获取用户第一个属性值标识；分别获取信息MD5值、发送者邮箱、信息内容、信息类型、信息确认MD5值、信息状态、发送者昵称、接收时间、bubbleId的标识、属性长度和内容；S2.5：文件发送协议包处理，文件发送会分为多个包传输，包括文件检测包和文件上传数据包；S2.5.1：文件检测包，在文件发送过程中会先发送一个HTTP GET包检测文件在服务器中是否存在，目标地址\CheckFileExist，将收到检测结果，若返回<results resultcode＝"200">代表存在，存在则返回下载地址，若返回<results resultcode＝"404">代表不存在，则需上传文件，协议为HTTP‑POST，格式如下：“POST/ncfp/blockupload？id＝04978c96da16b7b10537b96c3a6e19fa&filesize＝129130&range＝0‑65536&tid＝1253454353&type＝IMG&sp＝1”及POST协议基本参数；S2.5.2：文件拼接，根据传输信息中获得的range值将所有id值相同的文件数据按顺序拼接组成完整文件；S2.6：文件接收协议包处理；S2.6.1、图片、视频缩略图包处理；以HTTP‑GET方式提交下载请求，请求地址ncfp/blockdownload，服务器返回文件类型“Content‑Type”和文件长度“Content‑Length”和文件偏移量“x‑feinno‑range”；接着就是完整的缩略图文件数据；S2.6.2：原文件包处理；以HTTP‑POST方式提交下载请求，请求地址ncfp/blockdownload，服务器返回HTTP数据格式与缩略图格式相同，同样每次最多也传输65536个字节，所以文件过大就就会分多个POST数据包进行传输，直到传输完成；S2.6.3：文件拼接，根据传输信息中获得的x‑feinno‑range值将所有id值相同的文件数据按顺序拼接组成完整文件；S3：将S2对飞信不同数据包的处理结果封装为相应的JSON数据格式方便其他程序调用展示。