如何仅使用 Wireshark 对基于 UDP 的自定义游戏协议进行逆向工程？

Question

如何仅使用 Wireshark 对基于 UDP 的自定义游戏协议进行逆向工程？我可以记录大量流量，但是然后呢？我的目标是为 Wireshark 编写一个解析器插件，最终能够解码游戏命令。这看起来可行吗？我可能面临哪些挑战？命令是否可能被加密？

Answer 1

是的，这是可行的。但它的实用性取决于所讨论的游戏。压缩会让你的工作变得更加困难，而加密则让它变得不可能（至少通过 Wireshark - 你仍然可以获取内存中的数据）。

也许最好的方法就是有条不紊地进行——不要记录“一堆流量”，而是在游戏中执行单个操作或命令，然后查看发送哪些数据来传达该信息。然后您可以查看数据包并尝试发现任何感兴趣的内容。通常您不会从中学到很多东西，因此请尝试另一个命令并将新消息与第一个消息进行比较。哪些部分在同一个地方？哪些部分移动了？哪些部分完全改变了？尤其要查找数据包开头附近固定位置的值，该值可能描述消息类型。一般来说，数据包的开头将是诸如标头之类的通用内容，而数据包的后续部分将是特定于消息的内容。考虑到 UDP 协议通常有自己的手动排序或可靠性方案，并且您可能会在开头附近找到序列号。

了解您的数据类型很方便。例如，整数值可能以大端或小端格式存储。许多游戏以浮点值的形式发送数据，因此请留意连续 2 或 3 个浮点数，它们可能描述位置或速度。

Answer 2

商业游戏预计人们会尝试破解协议作为作弊手段，因此通常会使用加密，也可能会使用篡改检测。

停止此类活动是游戏制作者非常关心的问题，因为当少数玩家拥有超级工具时，它会破坏大多数玩家的体验。对于在线扑克等游戏来说，后果更为严重。