基于Wireshark获取目标ip地址
！！仅供学习交流使用！！
今天在某群遇见一个非常嚣张的自称某985研究生的小伙，宣扬要在上海某985高校“玩女人”，同时言辞举止十分蛮横无理。
(图就不放了，与本文核心内容无关)为了调查一下这小伙的来龙去脉，这里使用一种基于wireshark和QQ来查询对方ip地址的方法，好好吓唬他一下。
当然了，这种手段的目的不是教大家去窃取他人隐私信息，而是告知诸位不要轻易接听他人的来电，无论是手机来电还是网络电话，下面会简单介绍一下这个科技。
话不多说，我们先启动电脑，安装wireshark和WinPcap，推荐直接去官网下载，版本不要太旧就行，这里我使用的是wireshark_v3.2.6和WinPcap_4_1_3。当然了，我们还要下载电脑版的qq。准备工作就绪了，下面是下载地址：
WinPcap_4_1_3官方下载地址
wireshark官方下载地址(下载速度较慢)
wireshark_v3.2.6非官方下载地址(本文使用了这个)
安装winpcap的方法很简单，就一直next就好啦。而通过非官方地址下载的wireshark解压后直接就可以用了
首先我们按win+R后输入cmd，输入命令ipconfig查看自己的IP地址
记下自己的ip地址后，打开wireshark，选择自己电脑上网的方式，我的是WIFI就选WLAN
双击了电脑上网方式之后就开始抓包了，我们可以看到列表中不断出现新的数据，不用管它
现在我们打开我们的qq，找到我们想查找ip的目标，给他打一个语音电话
这个电话打出去就可以自行挂断了，这时候转到wireshark，点击左上角的红色方块，可以暂停抓包，因为我们想要的数据已经得到了。
现在我们可以查找我们刚才捕获的数据了，Ctrl+F设置数据筛选： 选择搜索 “字符串”; 选择搜索 “分组详情”; 填写搜索数据 “020048″;如下图所示
点击查找找到和自己主机IP地址相匹配的项，注意协议(protocol)项需要是UDP
最后在该网站定位其ip：
ip定位网站
本实例中定位了目标小伙的位置
可以在百度上搜索该ip，如下图，知其是上海联通用户
后记：
在这个实例中，我们利用wireshark通过QQ电话，建立了和目标的连接，从而定位了目标的地址。那么有的同学可能问了，为什么一定要通过语音电话而不能通过文本和图片来建立连接呢？这里我将做出解释：
首先，我们要简单了解一下应用层的TCP和UDP协议(相信刚学过计算机网络的同学已经简单了解这哼哈二将了)。
TCP一向以可靠地传输信息而闻名，因此常用于传输文本图片等信息；而UDP则无连接、不可靠数据传输、无流量控制、无拥塞控制被广泛应用于流媒体、Internet电话等等。
在通过QQ的信息传递中，首先要和目标建立连接，之后才能传输信息。在过去的时候，我们在传输任何消息都可以基于P2P体系结构，因此我们简单地调用资源管理器就能查看信息的来龙去脉，即服务器和客户端的ip地址。
但在今天的实例中，我发现在qq中发送文本和图片时，都是基于TCP协议先把数据传给腾讯的服务器117.184.250.32，之后在传给其他用户。这导致我们在wireshark中利用文本无法查询目标的ip。
因此我们只有绕过腾讯服务器直接与目标建立连接才行，这时我们利用基于UDP协议的网络电话直接和目标建立通信，才能成功获取其地址。
那么我们是否可以用语音消息来获取其地址呢？很遗憾的是，即便是发送语音，我们本质上还是使用的TCP协议，与文本图片同理，不能获取目标信息。
在本实例中，我们看到，尽管我们最终得到了小伙的ip，但实际上这个范围太大了，以至于我们几乎是白忙活一场。造成这种结果是因为他使用的是联通运营商的移动数据，因此无法获得精确的定位。
假如他使用的是WiFi，则可以更精确的定位到区甚至更小的范围了。
那么最后一点，也是最重要的一点，本文介绍的这种方法目的在于警戒大家不要随意的接听陌生人的电话，在接听的同时，你的信息就很可能泄露了。
当然你可以拿这个科技来吓唬坏蛋，但如你所见，该科技能定位的范围，与目标上网方式是相关的。另外通过这个小例子我们也简单地回顾了一下TCP和UDP两个协议，
也简单了解了腾讯QQ在传递信息机制，即文本采用C/S结构且基于TCP协议，而语音通话采用P2P和UDP，是两种不同的处理方式。
如果本文存在任何形式的错误，请不吝指正，感谢！
点此投币支持！！
                                

实现步骤

1、先查看本机IP地址

2、安装工具Wireshark

3、QQ拨打好友电话

3、观察Wireshark获取ip地址

4、OpenGPS查询地址

查看本机ip地址，为了方便等下在Wireshark中观察数据。打开CMD，输入命令ipconfig查看自己的IP地址


知道自己的ip地址后打开Wireshark。选择自己电脑上网的方式，我的是WIFI就选WLAN


Ctrl+F设置数据筛选：


设置好之后就可以打开QQ，给好友拨打QQ电话。无论好友是不是接听，只要你成功发起通话邀请就行了;


这个时候返回Wireshark不断按查找，直到能发现匹配的信息：



拿到好友IP后打开网址OpenGPS


经过与好友确认，定位误差为4公里左右。精准定位有待研究。

END

实现步骤
1、先查看本机IP地址

2、安装工具Wireshark

3、QQ拨打好友电话

3、观察Wireshark获取ip地址

4、OpenGPS查询地址
查看本机ip地址，为了方便等下在Wireshark中观察数据。打开CMD，输入命令ipconfig查看自己的IP地址



知道自己的ip地址后打开Wireshark。选择自己电脑上网的方式，我的是WIFI就选WLAN



Ctrl+F设置数据筛选：



设置好之后就可以打开QQ，给好友拨打QQ电话。无论好友是不是接听，只要你成功发起通话邀请就行了;



这个时候返回Wireshark不断按查找，直到能发现匹配的信息：


拿到好友IP后打开网址OpenGPS



经过与好友确认，定位误差为4公里左右。精准定位有待研究。

END

显示过滤：wireshark过滤经过指定ip的数据包
显示过滤可以完整的复现测试时的网络环境，但会产生较大的捕获文件和内存占用。
ip.addr ==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包[喝小酒的网摘]http://blog.hehehehehe.cn/a/17928.htm

ip.dst==192.168.1.1 //显示目标地址是192.168.1.1的数据包

ip.src ==192.168.1.1 //显示源地址是192.168.1.1的数据包
eth.addr== 80:f6:2e:ce:3f:00   //根据MAC地址过滤，详见“wireshark过滤MAC地址/物理地址”
ip.src==192.168.0.0/16   //网络过滤，过滤一个网段
捕获过滤：wireshark捕获经过指定ip的数据包
捕捉过滤抓包前在capture option中设置，仅捕获符合条件的包，可以避免产生较大的捕获文件和内存占用，但不能完整的复现测试时的网络环境。
host 192.168.1.1      //抓取192.168.1.1 收到和发出的所有数据包

src host 192.168.1.1    //源地址，192.168.1.1发出的所有数据包

dst host 192.168.1.1    //目标地址，192.168.1.1收到的所有数据包
src host hostname    //根据主机名过滤
ether  host 80:05:09:03:E4:35    //根据MAC地址过滤
net 192.168.1    //网络过滤，过滤整个网段

src net 192.168

dst net 192
使用“非/且/或”建立组合过滤条件可以获得更精确的捕获
非: ! or “not” (去掉双引号)

且: && or “and”

或: || or “or”
wirershark过滤指定ip收发数据包示例：
抓取所有目的地址是192.168.1.2 或192.168.1.3 端口是80 的TCP 数据
(tcp port 80) and ((dst host 192.168.1.2) or (dst host

192.168.1.3))   //捕获过滤
tcp.port==80&&(ip.dst==192.168.1.2||ip.dst==192.168.1.3)    //显示过滤
抓取所有目标MAC 地址是80:05:09:03:E4:35 的ICMP 数据
(icmp) and ((ether dst host 80:05:09:03:E4:35))
icmp && eth.dst==80:05:09:03:E4:35
抓取所有目的网络是192.168，但目的主机不是192.168.1.2 的TCP 数据
(tcp) and ((dst net 192.168) and (not dst host 192.168.1.2))
tcp&&ip.src==192.168.0.0/16&&!(ip.src==192.168.1.2)
捕获主机192.168.1.1 和主机192.168.1.2 或192.168.1.3的通信
host 192.168.1.1 and  (192.168.1.2 or 192.168.1.3 )
ip.addr==192.168.1.1&&(ip.addr==192.168.1.2||ip.addr==192.168.1.3)
获取主机192.168.1.1除了和主机192.168.1.2之外所有主机通信的数据包
host 192.168.1.1 and ! 192.168.1.2
ip.addr==192.168.1.1&&!ip.addr==192.168.1.2
获取主机192.168.1.1接收或发出的telnet包，telnet使用tcp 23端口
tcp port 23 and host 192.168.1.1
tcp.port==23&&ip.addr==192.168.1.1