记一次wireshark抓取QQ好友IP和火绒抓取微信IP

事情是这样的，，上个周，手机离奇的被盗，但没有关机，找回手机的途中，粗学了一手QQ抓ip的手段。

这里我就直接做个演示，解析关键的点。

i. wireshark 抓取手机在线IP

wireshark抓好友QQ的ip要求和对方打语音的时候要手机在线。
这里说一下，打语音和视频是直接能和对方建立连接，如果发文件，是直接发给腾讯的，抓不到包。

1.打开wireshark，通过电脑Tim给对方打语音，，持续三秒左右，保证数据包的持续发送。

2.很快就能看到这样指纹的数据包，我这里为了演示他的特性直接筛选出来
对方手机QQ在线抓到的包是:
UDP协议 72字段，在实际抓包里直接通过排序length=114和len=72，出来的连续通信包就是对方QQ的ip

以前有人通过筛选字段020048来找出通信包，原理是一样的。

这是最基础的思路，，通过找length=114，找72字段的连续通信包，我这里测试过联通，电信的，移动都是114的字段，

接下来是第二种情况:

1. 对方好友并没有手机QQ在线，对方处于电脑TIM在线，而且电脑挂有代理；
   2.对方或者保守一些，云主机在线，这时候打语音过去是抓到的通信包是假的。
   往往是下面这样，找不到字段的
   如何在这种情况下找到通信IP呢？
   看下面这图，这是本机和局域网通信包，
   IP起始100.64.0.0- 100.127.255.255
   在数据包中找到连续的通信包，就是有价值的IP。
   

ii 火绒抓取 微信在线接听IP

然后在这个思路上，我这里抓取微信的通信包，找出好友的IP

手上有张朋友的移动卡，IP地址是 海南海口移动

然后，通过wireshark抓取微信的通信包，如图
抓到的通信包识别营运商属于山西的。
某大佬说过火绒的插件 火绒剑地区更精准。

1.找到微信的进程ID，这里直接傻瓜放图

2.菜单栏-系统，勾选接收数据包模块，，这是抓通信包的模块，其余的全不选，免得包数量太多不好分析；双击进程-添加进程ID
3.给微信好友打语音，需要它接通，，（不接的后面还有测试）
如图，抓到通信IP为220.200.108.146 TCP8080端口
拿到ip归属识别，发现基站在广东，尝试多次抓包，通信包还是在广东，这很大概率是基站未及时更新，因此还是存在地区范围误差的，

iii 火绒抓取 微信在线不接听IP

同时，可以看到wireshark抓微信包的精度相差很远，，这时候测试在对方不接通的环境下，是否能抓到IP通信包呢？？？

可以看到，未接通抓到的443包依旧抓到了该基站下的IP
，拿到IP端识别，发现精度还是挺精准的，这是在4G和WIFI环境下