事情是這樣的，，上個周，手機離奇的被盜，但沒有關(guān)機，找回手機的途中，粗學(xué)了一手QQ抓ip的手段。

這里我就直接做個演示，解析關(guān)鍵的點。

三種思路

• • i. wireshark 抓取手機在線IP
  • ii 火絨抓取 微信在線接聽IP
  • iii 火絨抓取 微信在線不接聽IP

i. wireshark 抓取手機在線IP

wireshark抓好友QQ的ip要求和對方打語音的時候要手機在線。
這里說一下，打語音和視頻是直接能和對方建立連接，如果發(fā)文件，是直接發(fā)給騰訊的，抓不到包。

1.打開wireshark，通過電腦Tim給對方打語音，，持續(xù)三秒左右，保證數(shù)據(jù)包的持續(xù)發(fā)送。

2.很快就能看到這樣指紋的數(shù)據(jù)包，我這里為了演示他的特性直接篩選出來
對方手機QQ在線抓到的包是:
UDP協(xié)議 72字段，在實際抓包里直接通過排序length=114和len=72，出來的連續(xù)通信包就是對方QQ的ip

以前有人通過篩選字段020048來找出通信包，原理是一樣的。

這是最基礎(chǔ)的思路，，通過找length=114，找72字段的連續(xù)通信包，我這里測試過聯(lián)通，電信的，移動都是114的字段，

接下來是第二種情況:

對方好友并沒有手機QQ在線，對方處于電腦TIM在線，而且電腦掛有代理；
2.對方或者保守一些，云主機在線，這時候打語音過去是抓到的通信包是假的。
往往是下面這樣，找不到字段的
如何在這種情況下找到通信IP呢？
看下面這圖，這是本機和局域網(wǎng)通信包，
IP起始100.64.0.0- 100.127.255.255
在數(shù)據(jù)包中找到連續(xù)的通信包，就是有價值的IP。

ii 火絨抓取 微信在線接聽IP

然后在這個思路上，我這里抓取微信的通信包，找出好友的IP

手上有張朋友的移動卡，IP地址是 海南海口移動

然后，通過wireshark抓取微信的通信包，如圖
抓到的通信包識別營運商屬于山西的。
某大佬說過火絨的插件 火絨劍地區(qū)更精準(zhǔn)。

1.找到微信的進程ID，這里直接傻瓜放圖

2.菜單欄-系統(tǒng)，勾選接收數(shù)據(jù)包模塊，，這是抓通信包的模塊，其余的全不選，免得包數(shù)量太多不好分析；雙擊進程-添加進程ID
3.給微信好友打語音，需要它接通，，（不接的后面還有測試）
如圖，抓到通信IP為220.200.108.146 TCP8080端口
拿到ip歸屬識別，發(fā)現(xiàn)基站在廣東，嘗試多次抓包，通信包還是在廣東，這很大概率是基站未及時更新，因此還是存在地區(qū)范圍誤差的，

iii 火絨抓取 微信在線不接聽IP

同時，可以看到wireshark抓微信包的精度相差很遠(yuǎn)，，這時候測試在對方不接通的環(huán)境下，是否能抓到IP通信包呢？？？

可以看到，未接通抓到的443包依舊抓到了該基站下的IP
，拿到IP端識別，發(fā)現(xiàn)精度還是挺精準(zhǔn)的，這是在4G和WIFI環(huán)境下

總結(jié)

以上是生活随笔為你收集整理的记一次wireshark抓取QQ好友IP和火绒抓取微信IP的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。