【发布时间】:2017-07-02 14:39:41
【问题描述】:
我正在尝试从 dota2 数据包中获取游戏中的聊天信息。我知道这曾经是可能的,因为有多个项目拦截了 dota2 网络流量并翻译了聊天文本以打印在 dota2 上的覆盖上。现在我正在使用安装了 protobuf 插件的wireshark。我可以在这里和那里看到一些数据包到美国以外的 Valve 服务器,并且可以看到用于处理这些数据包的 wireshark 的 protobuf 插件,但是对于我认为与 dota 相关的 95% 的数据包,我收到了未知的线型错误。在几乎所有这些数据包中,UDP 数据负载都以 56 53 30 31 开头 这是一个来自wireshark的十六进制转储示例。这 4 个字节是某种标头,然后是原始消息开始吗?
0000 c8 a7 0a a4 63 ed 6c fd b9 4b 6e 16 08 00 45 00
0010 00 70 58 db 40 00 40 11 85 1a c0 a8 01 f5 d0 40
0020 c9 a9 9e 96 69 89 00 5c 72 7c **56 53 30 31** 30 00
0030 06 00 00 02 00 00 00 1d fe 11 11 10 00 00 d7 0a
0040 00 00 01 00 00 00 11 10 00 00 30 00 00 00 24 fd
0050 37 3c b4 30 a5 48 fa 3d ea 30 1a 1f d8 a9 41 e0
0060 e0 6c 44 ba bb 4e ba fc e7 ac ed f9 40 19 86 20
0070 84 71 52 5d b3 1f da 36 40 d9 b6 2e e1 e5
【问题讨论】:
-
如果你跳过这些字节,30 00 06 也是无效的protobuf。是什么让你认为这是 protobuf 数据?如果您想尝试某些部分,protogen.marcgravell.com/decode 接受十六进制并将尝试对其进行解码。不要包含行前缀。
-
我确定这个数据包来自 dota2,到目前为止我读过的所有文档都说他们使用了 protobufs。一些到达相同端口的数据包是 protobuf 消息,因此很可能是无效的 protobuf 数据。我读过dota2的重播只是数据包转储都以12字节的标头开头,所以我认为对于现场游戏,有效的protobuf数据可能会在标头之后开始,但我还没有找到我在外面看到的模式那 4 个字节
标签: networking protocol-buffers