查看目标机的IP 地址

（1）通过QQ 软件查IP 补丁查IP
每当Q Q 的一种新版本出来，隔不了几天补丁程序就出来了，即便是菜鸟查看I P 地址和端口都异常容易，如
木子工作室提供的QQ2003II 的补丁在腾讯公司提供QQ2003II 下载之后半个月就出来了，其下载地址为：http:/
/www.muzi-studio.com，这种补丁只要对方在线就可以轻松查看对方的I P 地址、所在地及Q Q 的版本号，如图
1-1-4 所示。
图1-1-4 查聊友IP 地址和QQ 版本号的补丁
（2）利用专门的工具软件查IP
① QQ 聊天伴侣
现在有一款称作QQ 聊天伴侣的软件（可到http://www.jackysoft.com/cn/
qqbl 处下载），不但能查QQ 好友的IP 以及所在城市地址，而且还能查QQ 上陌生
人的I P 和所在城市地址。其I P 地址既可直接显示在Q Q 发送信息对话框的顶部，
也可显示在该软件的“I P 查看”栏，并能保存下来。更厉害的是，Q Q 聊天伴侣
还具有查隐身I P 的功能，只要隐身人一开口说话，其I P 地址就暴露无遗，这样
你就可以知道隐身好友到底是哪里的（别的查I P 地址的软件不具备该功能）。
运行“Q Q 聊天伴侣”，会在系统托盘处出现一个黄色脸谱图标，点击此图
标，会弹出一个菜单，如图1 - 1 - 5 所示，该软件所有的功能都包含在此菜单中。
选择其中的“I P 查看”命令，会弹出一个没有任何内容的窗口，此时可以
给在线好友发一个消息。消息发过去后，他的Q Q 号码、I P 地址、端口、所处的
位置等信息会加入到前述的窗口中。以后，每得到一个新的好友I P 地址信息，
“Q Q 聊天伴侣”将自动将其相关信息加入“I P 查看”窗口，这中间当然也包括
隐身人和陌生人的I P 地址，如图1 - 1 - 6 所示。
图1-1-5 QQ 聊天伴侣的主菜单
图1-1-6 QQ 聊天伴侣显示的IP 地址等信息
IP 地址
版本号
·5·
有的时候，你所发送的消息不是直接发送给对方，而是通过腾讯服务器转发。对此，Q Q 聊天伴侣无法得到
对方的I P 地址。你可以从聊天记录中看到“通过服务器转发”的字样，此时，Q Q 聊天伴侣是无法查到对方的I P
的，不过，这种情形并不多见。
② IPlocate
Iplocate（http://www.newhua.com/soft/13332.htm）是一款专门用于查QQ 上好友、陌生人的IP 地址的
软件，不管对方是否在线，只要你向他发信息或是他向你发信息，就可以查出他的I P 地址及所处地区；输入I P
便能查找出与之对应的国家或地区。
运行Iplocate 程序，按下监听按钮，如图1-1-7 所示。
图1-1-7 Iplocate 的监听状态
然后向某人发一消息或等某人向你发消息，程序就会显示该人的Q Q 号码、I P 地址, 端口和所处区域，如图
1-1-8 所示。
图1-1-8 Iplocate 的监听到IP 地址等信息
在监听过程中，若有好友发消息给你，程序将得到发消息的那个人的I P 地址，这样就中断了原来的监听，
若需要继续监听，需要再按一次监听按钮。如果能返回I P 地址，且端口为4 0 0 0 ，或4 0 0 1 ，4 0 0 2 ⋯⋯. 等则便是
此人的I P 地址。如果端口为其他值，那此人可能是在网吧上网或在局域网内或使用代理服务器上Q Q ；如果网络
不是很畅通的话，消息会经服务器转送，这样将得不到对方I P ，可在网络畅通时，再试一次。
上面只是以两种较为典型的工具软件为例来介绍查看I P 地址的方法，其实还有很多查看I P 的工具，这里
就不再多述。这些工具软件获得的好友I P 地址是准确无误的，但所示的地理位置不一定准确，可能是I P 地址
库更新较慢的原因。如果想要精确知道对方的地理位置，可以采用一种叫“追捕”的软件进行辅助查看，由于
追捕软件的I P 地址库非常大且很全，更新速度又快，因此得到的地理位置是比较准确的。
③用防火墙查看IP
由于Q Q 使用的是U D P 协议来传送信息，而U D P 是面向无连接的协议，Q Q 为了保证信息到达对方，需要对方
·6·
发一个认证，告诉本机，对方已经收到消息，一般的防火墙（例如天网）都带有U D P 监听的功能，因此可以利
用这个功能来查看I P 。
第一步：. 运行防火墙程序，在“自定义I P 规则”一栏把“U D P 数据包监视”选项打上钩（Q Q 中的聊天功能
使用的是U D P 的4 0 0 0 端口作为数据发送和接收端口）。接着点一下工具按钮上的保存图标，如图1 - 1 - 9 所示。
第二步：运行Q Q ，向想查询I P 地址的对象发一信息；
图1-1-9 在防火墙中选中UDP 数据包监视规则
第三步：切换到防火墙程序所在窗口，看看当前由防火墙记录下来的日志（点击主界面中像铅笔一样的按
钮即进入日志界面），如图1 - 1 - 1 0 所示。
图1-1-10 天网防火墙的日志界面
在日志中，如果对方端口是OICQ Server[8000]，则表示该条日志上的IP 地址是QQ 服务器的。排除了本机
的IP 地址、发送到网关的IP 地址以及QQ 服务器的IP 地址，剩下的就是对方的IP 地址了，如图中为210.82.117.92。
再配合“追捕”之类的工具软件，就可以知道对方的大概位置。用这种方法来查I P 地址，不会受Q Q 版本的限
制。
另外，还可利用天网的日志功能查到那些成天用扫描器软件到处扫描的人的I P 地址。这是黑客需要具备的
很重要的技能，在攻击别人时，首先要懂得保护自己。
④用DOS 命令查看IP
我们还可以使用古老的D O S 命令来查看对方I P 地址，即借用网络命令N e t s t a t 。不过用此方法有个前提条
你要查的IP 地址
QQ 服务器的IP 地址
·7·
件，那就是一定要把想知道I P 地址的好友请到Q Q 的“二人世界”里。
接着，在DOS 窗口里（Windows 9x 下叫DOS，Windows 2000 下叫命令提示符）输入：netstat – -n， 你将
看到如下内容：
Active Connections
Proto Local Address Foreign Address State
TCP 61.109.34.78:1200 218.22.244.134:61555 ESTABLISHED
TCP 61.109.34.78:2694 61.143.136.34:6667 ESTABLISHED
TCP 61.109.34.78:4869 202.104.121.291:23 ESTABLISHED
从外部来的I P 地址（F o r e i g n A d d r e s s）就有好几个，哪个才是要找的呢？现在找一个理由退出“二人世
界”，在MS-DOS 窗口再输入一次：netstat -n ，将看到如下内容：
Active Connections
Proto Local Address Foreign Address State
TCP 61.109.34.78:1200 218.22.244.134:61555 TIME_WAIT
TCP 61.109.34.78:2694 202.109.72.40:6667 ESTABLISHED
TCP 61.109.34.78:4869 202.104.121.291:23 ESTABLISHED
仔细比较两次的结果，你会看出前后两次的区别。那就是在S t a t e 列上字符发生了变化，由E S T A B L I S H E D
（建立）变为了T I M E _ W A I T 。由于我们在“二人世界”时要传送消息，相互之间必然要产生连接（通过U D P 协议），
此时自然是“ESTABLISHED”了（以你用netstat -n 命令的结果来说）；而退出“二人世界”连接就断开了，自
然就是“TIME_WAIT”了，所以前面的218.22.244.134 即是要找的IP 地址。
使用这种方法，不需在电脑中安装软件，在任意一台能上网的电脑上都能使用。
另外，查Q Q 用户I P 地址的方法和工具还有很多，如有人利用网络监听工具n e t x r a y 软件来进行查看，这
有点像杀鸡用牛刀，其实上述方法已经足够你用了。
⑤聊天室中查IP
在允许贴图、放音乐的聊天室，利用H T M L 语言向对方发送图片和音乐，如果把图片或音乐文件的路径设定到
自己的I P 上来, 那么尽管这个U R L 地址上的图片或音乐文件并不存在，但只要向对方发送过去，对方的浏览器
将自动来访问你的I P 。对于不同的聊天室可能会使用不同的格式，但只需将路径设定到你的I P 上就行了。
如：“X X X 聊天室”发送格式如下：
发图像：img src="http:// 61.128.187.67/love.jpg"
发音乐：img bgsound="http:// 61.128.187.67/love.mid"
需要注意的是：这两个语句里的6 1 . 1 2 8 . 1 8 7 . 6 7 需要替换成你自己的I P 地址。
这样黑客用监视软件就可以看到连接到你机器的I P 地址，这种软件很多，有l o c k d o w n ，IP Hunter 等。
如果对方在浏览器中将图像、声音全部禁止了，此方法就无能为力。对方使用代理服务器的，此方法也只
能查到他所用代理的I P 地址，无法查到其真实I P 地址。
⑥查网站的IP 地址
黑客要攻击某个网站，也需要首先获得该网站的I P 地址，获取网站最简单的办法是使用W i n d o w s 自带的一
个小程序ping.exe。
在MS-DOS 命令行下输入ping www.xxx.com。这时候就会出现：
C:/>ping www.xxx.com
Pinging www.xxx.com [xxx.xxx.xxx.xxx] with 32 bytes of data:
Reply from xxx.xxx.xxx.xxx: bytes=32 time=630ms TTL=116
Reply from xxx.xxx.xxx.xxx: bytes=32 time=630ms TTL=116
Reply from xxx.xxx.xxx.xxx: bytes=32 time=120ms TTL=116
Ping statistics for xxx.xxx.xxx.xxx:
·8·
Packets: Sent = 4, Received = 4, Lost = 0（0% loss）,
Approximate round trip times in milli-seconds:
Minimum =120ms, Maximum =630ms, Average =187ms
其中：黑体字显示的xxx.xxx.xxx.xxx 就是 http://www.xxx.com 的网站服务器的IP 地址。
如图1 - 1 - 1 1 所示就是我们p i n g 华军网站的一个实例：
图1-1-11 用ping 命令显示网站的IP 地址
如果p i n g 通了，将会从该I P 地址返回b y t e , t i m e 和T T L 的值，这样黑客就具备进一步进攻的条件。如果
p i n g 不通，就会返回“Request timed out”，表明对方要么不在网络上（如未开机），或者是使用了防火墙。
如果使用了防火墙，要进行攻击就比较容易被发现。
提示
当然，对于个人计算机或是其它机器都可以使用p i n g 命令看对方是否在线，只有对方在线，才能再进
行下一步攻击。
通过以上几种方法，都可以获得对方的I P 地址，为下一步的进攻打下了基础。