使用工具:
Wireshark
可以直接搜索官网获取,个人用的免费的,也可以直接在kali中也是可以直接用的。
正文:
通过wireshark进行抓包,需要拨打电话,无需接通,我们设置一下过滤的条件即可,这里直接操作。
打开软件
这里根据你使用的网络,wlan是无线网,以太网是网线链接,或者其他的根据你使用的网络来定。
首先是我们的过滤条件:
ip.src==192.168.31.109 and (oicq or udp) and data.len==72
这里oicq是qq的一个传输协议,通常结合udp使用,然后后面的72是qq语言发起通话的通知字节长度,目前是72字节
这里的IP地址换成你自己本机的
然后输入回车
这里写完了我们开始点击抓包并且打电话
我们打完电话就可以看到这里出现了很多的包,这里我们去掉内网的ip,主要对
这里长度是114的进行分析
可见只有120开头的这个ip了,这也是我们这里需要的一个IP地址,我们使用网站来查询一下,这里我常用的一个是http://chaipip.com/aiwen.html
这里我们用的是移动的,因为使用移动网络会有误差,通常使用固定的公司网络,网吧等固定的网络会精准到街道甚至楼栋。
移动网络会给你一个大致范围,不过我的其实也就是给的这个范围半径里面了。
**
微信IP
**的话,根据一个师傅的总结,我们利用微信数据包中的udp的报文头部特征来过滤,微信也是需要打电话的,是要接通。
根据特征a3来过滤
udp[8:1]==a3
过滤的语句是这个。
然后我们还是一样的步骤,先是设置一下过滤的语句,然后我们拨打电话接通,看到有很多包被抓到我们挂断电话停下抓包
这里多个连续的就是我们的目标IP,我这里实验的和第一次实验的稍有偏差,但是也在第一个的半径中。
结合我的具体位置其实也是能大致。
但是这些方式还是有些不是很准确,相比于qq有所偏差
那位师傅还总结了钉钉的特征,过滤语句:udp[8:4]==00:01:00:4c
因为不用钉钉,这里就不实验了,步骤都差不多。
关注gzh可以咨询更多
gzh:`白 安 全 组`