上海交大信息安全工程師授權培訓考試中心

 

您現在的位置>首頁>網絡安全>正文

.

定位對手 巧用天網防火牆查對方IP地址 .

.

    新聞類別:網絡安全 | 來源:北京新華 | 日期：2006-3-23 | 閱讀： 次     .

          .

   

　　在網絡上，一台主機可以由它的計算機名、域名等來定位，但是，一台主機的絕對位置最終還是由它的IP地址來決定的。在很多情況下，我們需要知道與我們通訊的對方的IP地址，那麼怎樣才能知道對方的IP地址呢？一些朋友可能會說，用系統自帶的Netstat命令不就得了嗎，但筆者認為，Netstat命令不夠直觀，如果你的電腦安裝了天網防火牆，那麼利用它查對方的IP地址就變得輕而易舉。

.

　　天網防火牆是天網安全實驗室（）推出的專業軟件防火牆，該軟件的網絡監控功能能夠顯示本地計算機全部的監聽端口和已連接的端口，當然了，它也能顯示全部和本地計算機已連接的主機的IP地址。下面，我們用RealLink來做個試驗。 .

　　RealLink是國產的一款P2P軟件，該軟件除了可以點對點地交換文件外，還提供了文字即時聊天功能（其實現在很多P2P軟件都提供了這種功能，我們同樣可以使用下面介紹的方法查出對方的IP地址），但是遺憾的是我們不能和顯IP地址的QQ珊瑚蟲版一樣得到對方的IP地址。 .

　　先打開天網防火牆的主界面，然後在RealLink的聊天窗口上給對方發送一條文字信息，這時我們會發現，在天網防火牆的主界面上會突然出現一條連接（如圖1），稍時，這條連接會消失，用同的方法我們再發一條信息，該連接會再次出現，現在，我們就可以斷定，該連接中的IP地址就是對方的IP地址，而且，我們還知道了對方使用1030端口與我們對話。
.

.

　　利用天網防火牆的這一功能，我們還可以查看自己是否中了黑客的木馬，查看控制我們電腦的黑客的IP地址。

　　天網防火牆內置了一個已知木馬默認監聽端口的列表，如果您的電腦開啟了該列表中的監聽端口，那麼天網防火牆會提示使用該端口的木馬，如圖2所示，該電腦被開啟了7626監聽端口，於是天網防火牆提示冰河木馬（冰河木馬默認的監聽端口是7626）監聽此端口。從圖2上我們以看出，該端口還處於監聽狀態，說明黑客還沒連接該電腦，暫停天網防火牆的所有IP規則，我們繼續開著電腦等待黑客來控制這台電腦。

.

.

　　如圖3所示，這是黑客已連接上並下載被控端電腦中文件的截圖，從圖上我們可以看出，黑客的IP地址為“61.234.10.69”，記下這個IP地址，單擊“結束進程”的圖標結束冰河的進程（在緊急狀態下您還可以單擊“接通/斷開”開關斷開電腦與Internet的連接）。

.

.

　　 QQ的珊瑚蟲版中有一個IP地址和地理位置互查的小工具，打開這個工具，輸入黑客的IP地址，我們就可以得到黑客所處的地理位置（如圖4）。

.

.

　　 提示：IP地址和地理位置互查的工具在網上比較多，一些網站也提供IP地址和地理位置互查的服務，但是這類查詢都是基於一個人工收集的IP數據庫，QQ的珊瑚蟲版使用的是純真的IP地址數據庫，這個數據庫收集的IP地址比全面，而且也比較准確，故筆者推薦使用QQ珊瑚蟲版中的工具。

.

  .

.