关于QQ抓包,IP准确性的问题

当我们使用QQ与好友进行通话时，我们可以使用网络分析器抓包，分析传输数据并得到"对方IP"

首先，开启UDP过滤，以筛选UDP报文并设置条件选择字符串，输入020048查找

经过筛选后就以看到“对方主机的IP”

不论目标主机是电脑还是手机都可以进行抓取IP

获取指定网站的IP地址方法：

1cmd命令做传统测试(ping)

2使用nslookup查看服务器信息

3跃点追踪(tracert)

4使用站长之家或其他工具查询

Internet中所有计算机的IP地址都是可以全球统一分配的，因此可通过计算机的广域网IP地址来查看相对应的地理位置。Internet中有许多的网站收集了IP地址，以及相应的地理位置。我们可以使用这些定位系统来查看IP的模糊位置。

关于IP定位，上文中我们讲到的"对方IP"都是带有引号的。而所谓的“对方IP”，常常只是中转服务器的IP。近年来，网络传输因保护用户信息，社交软件公司都会使用到中转服务器。因此网络上常见的IP不准确，以及所谓的抓到”对方IP“不过是中转服务器的IP。那么需要获取对方IP，多数情况下仅通过分析传输数据是得不到的。而目前较为简便的方法为发送钓鱼网站并将对方访问的请求数据包返回。

关于IP的位置准确性，IP定位的范围大约为直径两千米。而定位误差大小视情况而定。因为我们所得到的是广域网IP，因此我们能够定位的只不过是对方广域网基站/路由的位置信息。（基站=路由+交换器）网络上，通过IP能够获取对方准确位置的说法都是错误的。（毕竟官方也不能单凭IP地址获取用户位置）。

那么以IP获取较为准确的位置的方法有下面几种：

1IP定位

2聚合定位（需要IP定位配合/官方常用手段）

3三点定位（利用覆盖用户的三个基站计算）

4运营定位（利用IP，SIM，IMEI等）

多数情况下，以上各种情况配合可以得到目标较为准确的位置。

QQ定位原理：

UDP是QQ传输使用的协议

020048为 QQ所使用UDP协议的报文头

QQ传输所使用的端口是4000~4100，默认端口：4000，若4000端口被占用即自动使用4001端口，并以此方式递增。

值得注意的是：：：关于获取对方ip的位置这种行为是不符合规定。。。

用途

tcpdump简义：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。

 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

语法

tcpdump [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>]

[-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]

参数说明：>一）IP协议的功能：

（1）寻址和路由；（根据对方的IP地址，寻找最佳路径传输信息）；

（2）传递服务：① 不可靠（IP协议只是尽自己最大努力去传输数据包），可靠性由上层协议提供（TCP协议）；② 无连接；（事先不建立会话）；

（3）数据包的分片和重组。

（二）IP数据包详解：
（1）0100 = Version : 4（表示使用的 IPv4协议），对等层之间要使用同一种IP协议（IPv4协议）；

（2）0101 = Header Length : 20Bytes(5) 首部长度占4 bit ，可表示的最大数值为15个单位（1111），一个单位一个字节，最大为60字节；

（3）服务类型-----占8 bit ，（Differentiated Services  Field）字段来区分服务，Delay = 1 延迟小，Throughput = 1吞吐量大，Reliability = 1 质量比较高，Cost = 1 最小代价！同一时刻只有一位是1；

（4）Total Length 总长度占 16 bit：2^16 - 1 = 65535 字节，值首部和数据之和的长度，单位为字节，因此数据报的最大长度为65535字节（MTU最大传送单元）；

（5）标识（identification）占16 bit，它是一个计数器，用来产生数据包的标识；

（6）标志（flag）:数据包在传输的过程中，标志字段MF（More Fregment），MF = 1表示后面还有分片，MF = 0 表示最后一个分片；

（7）片偏移：每个数据片不同时传输，标志着谋片在原分组中的相对偏移位置，以8字节为偏移单位；

注意：发送数据报过大，就要对其数据报分片处理，每一个分片都会含有一个标识（IP地址 + 标识），到达目的地要对其所有的分片进行重新组装；

重点：片偏移计算过程；首部分大题的内容是一样，因为都属于同一个数据报文！
（8）生存时间（Time To Live）占用 8bit ，使用“跳数“作为TTL的单位。数据报每经历一个路由器时对应的TTL值就会减 1 ；防止数据报发送在路由器中出现环路，因为数据报在传送的过程中要占用一定的带宽（TTL值为零自动丢弃）；

（9）协议（8bit）字段指出此数据报所携带上层数据使用的TCP协议还是UDP协议，以便对等层接收到数据报交给上层相应的协议（TCP或者UDP协议）进行处理；

（10）首部检验和（Header  checksum   16bit）字段只校验数据报的首部，不包含数据部分；看IP数据报头部是否被破坏、被篡改和丢失等；

（11）源地址：数据向外发送，发送机器本身的IP地址，也成为逻辑地址；

目的地址：数据具体要发送目标及其的IP地址。

（对应IP数据报wireShark抓包图解）
（三）逻辑地址和物理地址解释：
（1）逻辑地址：（工作在网络层，网络级）也称为IP地址，具有特征 ① 全局唯一性；② 使用软件来实现网络中地址管理；③ 占32位，4字节；

（2） 物理地址：也称为硬件地址、链路地址或MAC地址，（工作在网络接口层）具有特征：① 本地范围唯一性；② 使用硬件实现（路由器、计算机有设置MAC地址的位置）；③ 占48位，12字节，16进制表示！例如：74-E5-0B-35-60-16 ：0111  0100-1110  0101-0000  1011-0011  0101-0110  0000-0001  0110。

（四）为什么有了IP地址，还要使用MAC地址：

① IP地址一般情况下容易修改和变动，具有随意性，不能在网络上固定标识一台设备；

② MAC地址一般情况出厂时由厂家烧录到网卡中，不容易修改，在局域范围内容易唯一定位一台设备。

③ 从拓扑结构和分层上分析，IP地址属于网络层，主要功能在广域网范围内路由寻址，选择最佳路由，而MAC地址在网络接口层要形成适合于网络媒体上传输的数据帧。

注意：标识一个设备的三种方式：① 域名访问（> 原文：>

抓包工具有：fiddler抓包工具、Charles抓包工具、Firebug抓包工具、>

1、fiddler抓包工具，是客户端和服务端的>

2、Charles抓包工具也是比较常用的，和fiddler差不多，请求接口和返回数据的显示方式不一样，Charles是树状结构比较清晰，fiddler是按照时间倒叙排的。

3、Firebug抓包工具是浏览器firefox浏览器自带插件，支持很多种浏览器，直接按f12,就可以打开，用起来比较方便。

4、>

5、Wireshark抓包工具很强大，可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。但是如果只是抓取>

6、SmartSniff抓包工具是一款方便小巧的TCP/IP数据包捕获软件，网络监视实用程序。

扩展资料：

抓包工具在我们工作中主要用在：

A：抓取发送给服务器的请求，观察下它的请求时间还有发送内容等等；

B：去观察某个页面下载组件消耗时间太长，找出原因，要开发做性能调优；

C：或者我们去做断点或者是调试代码等等。

抓包工具所具备的几个功能：

1）它提供类似Sniffer的包分析功能，可以帮助我们详细拆分IP结构内容，带我们深入的了解TCP/IP协议；

2）它可以用来分析软件占用端口及通讯情况比重的工具；

3）它可以让我们从海量IP数据包中，找出我们需要的IP数据包，还能通过用户端的情况，帮助我们能截获各类敏感数据包。

---