ip地址追查与确认.doc

IP地址追查与确认 2010-12-22 14:34 网络犯罪和网络中的违法案件，目前正伴随着网络的普及而呈上升趋势。由于互联网上的每一台主机、路由器都有一个由３２位二进制编码组合、包括网络号和主机号的ＩＰ地址，为避免联网主机发生地址冲突这个地址由网络信息中心ＮＩＣ统一分配，因而具有惟一性。正是因为ＩＰ地址的这种惟一性，查找主机ＩＰ地址就成为我们追查网上信息源、进而侦破案件的重要手段。ＩＰ地址能否作为合法证据？CT机关提取的ＩＰ地址的可信度如何？实际网络应用环境存在ＩＰ地址伪造的可能，那么，怎样识别获取ＩＰ地址的真假？如何根据ＩＰ地址定位联网机器？ ＩＰ地址的获取 ＩＰ地址和网络上使用的计算机的一一对应关系是勿庸质疑的，这是互联网应用的基本规则。但是，从技术上讲在网络使用中存在隐藏真实ＩＰ，或以虚假ＩＰ代替真实ＩＰ的可能，因此，实际工作中必须解决理论上的真实ＩＰ和网络中出现的ＩＰ真假判别问题，只有解决了ＩＰ地址的真实性，才能在网络中定位机器，让ＩＰ地址在办案中发挥作用。 ＩＰ地址由ＩＳＰ分配给网络用户上网使用，ＩＰ地址的分配方法有两种，一是静态地址分配，把特定的ＩＰ地址固定的分配给一个用户，该用户每次上网都要使用同一ＩＰ地址；二是动态ＩＰ地址分配。多个ＩＰ地址由多个用户随机获得，用户每次上网可能会使用不同的ＩＰ地址。无论用户使用哪种方式得到ＩＰ，使用网络时，电信部门都有相应记录，所以，获取ＩＰ地址最直接的方法是从ＩＳＰ服务商的服务器中提取。由于电信部门的ＩＰ地址使用记录信息量大，查询历史记录得到的ＩＰ地址又要和用户关联才能体现价值，检索查询工作量很大。实际工作中获取的ＩＰ地址多是CT部门、电信部门通过动态监控得到，然后电信部门配合查询使用该ＩＰ地址的用户。 目前，互联网中常用的通信有Ｅ－ｍａｉｌ、网络聊天等，而许多刑事案件和网上聊天有关，在确定其ＩＰ地址时，一般仅利用网上常见的自由软件，就可容易的查出通信双方的ＩＰ地址。确定聊天的ＩＰ地址可以利用下述方法： （１）使用ＱＱ显示ＩＰ的补丁程序 显ＩＰ补丁程序是由编程爱好者自发编写的，程序升级速度几乎与ＱＱ原版同步，腾讯公司每发布一个ＱＱ新版本，显ＩＰ补丁程序也会很快问世。 ＱＱ程序作为网络实时通信软件，提供面向连接的服务，为保证信息在收、发双方可靠传递，数据中含双方的地址信息，作为提供给用户使用的信息层面不需要显示地址信息，所以ＱＱ程序屏蔽地址信息。而显ＩＰ补丁程序能修改ＱＱ程序，使接收方能从发送方的在线信号中解析出ＩＰ地址。在使用经过补丁程序修改后的ＱＱ时，双击一个在线的对象，系统弹出的“发送消息”窗口中会显示在线对象的ＩＰ地址及通信端口号，当然，前提条件必须是点击对象在好友列表中，且处于“在线”状态，若不然则先要把对方添加到好友列表。端口号也是一项很重要的信息，一般设为“４０００”。 （２）使用ＩＰＬｏｃａｔｅ程序 ＩＰＬｏｃａｔｅ的基本工作原理是基于对ＵＤＰ的监听，工作时它会抢在ＱＱ程序前接收发送方发送的信息，并直接从中提取发送方的ＩＰ地址及端口号。它的拦截有时会导致ＱＱ出现不能正常收、发信息的现象，目前多使用该软件中文６．０版本。 使用ＩＰＬｏｃａｔｅ程序时，应先启动ＱＱ，并在ＩＰＬｏｃａｔｅ中设置好本机ＱＱ所用端口号，一般为４０００，然后按下监听按钮，使用ＱＱ接收或发送一条信息，系统会“监听”对方的ＩＰ地址和端口号，收到信息后自动停止“监听”。由于ＩＰＬｏｃａｔｅ是从底层分析数据包获取地址信息，所以使用此软件提取的地址信息准确性较高。该软件还提供有简单的定位和攻击功能，但效果欠佳。 （３） ＩＣＱ反隐形技巧 当要查找的对象在网上隐形后，就看不到他的活动信息，ＩＰ地址无从查起。但若设法确认了监控对象在网上后，就可以利用ＩＳＰ的服务器提取ＩＰ记录，这也是查获对方的一种有效手段。一般人是先上线，然后才将ＩＣＱ调成隐形状态，如果监控对象先你上网，你上网时他已经隐形，你是发现不了他的，但是如果你先上线就可以在提示报警中设定他上线立即通知事件，这样他一上线，你就会听到声音提示，知道他上线了，这时他再去调成隐形也就来不及了。对付隐形的另外一种方法是在上次聊天时发一条对方肯定会回复的信息，在确认信息发出后立刻断线，回信会留在服务器上，下次上线时，即使对方对你隐形，服务器的信息也会传过来，你就能够看到他正处于在线状态了。在ＩＣＱ中，只要有人对你发送信息，他的状态就会显示在联系清单上，无论他是否对你隐形。根据这个原理，破解别人隐形的基本方法就是骗他向你发送信息，掌握这些技巧在侦破涉及网络聊天的犯罪时特别有用。 ＩＰ地址的真实性判定 使用以上方法获取的ＩＰ地址