写在前面:
这里分别用wireshark和tcpdump来抓包,具体使用在其它两篇文章里有讲述("tcpdump抓包工具"、"Wireshark抓包工具")。
底下有涉及到telnet命令,如果Windows中提示:telnet不是内部或外部命令,怎么办?这里主要说下Windows下该怎么解决。
开始 → 控制面板 → 程序和功能 → 启用或关闭Windows功能,在这里就可以看到telnet服务器和telnet客服端,"Telnet Client"打勾,然后就可以使用telnet命令了。
而telnet 服务器在Windows 10已经找不到了,因为是为功能删除或弃用。实在想要的话可以自己去网上下载。
wireshark:
1、开启Wireshark,并监听本地网卡;
2、远程登录 route-server.ip.att.net服务器(rviews/rviews)
用telnet远程登录 route-server.ip.att.net服务器(rviews/rviews),命令为
telnet route-server.ip.att.net
用wireshark抓到telnet的包
在上面的筛选栏输入telnet,筛选出telnet的包,然后找到其中数据长度最大的包,右键点击追踪流的“TCP流”
查看到我登录的用户名和密码了
注意这里的“login”中的登录用户名每个字符都会重复一次,这是为什么呢?这里就要说到telnet的工作模式了。
telnet工作模式有四种:
1) 半双工:客户端在接收用户输入之前,必须从服务器进程获得GO AHEAD (G A)命令. 现在已很少使用
2)一次一个字符:客户端把用户输入的每个字符都单独发送给服务器,服务器回显字符给客户端. 是目前大多数Telnet程序的默认方式. SUPPRESS GO AHEAD选项和ECHO选项必须同时有效
3) 准行方式(kludge line mode): 用户每键入一行信息,客户端向服务器发送一次. 当上面两个选项其中之一无效时采用此模式
4) 行方式:类似准行方式,纠正了准行方式的缺点。较新的Telnet程序支持这种方式
而这里的telnet的工作模式是一次一个字符,客户端把用户输入的每个字符都单独发送给服务器,服务器再回显字符给客户端,所以就来回一次。而"Password"只有一次是因为规定就是这样,毕竟是密码,服务器就不会再返回一次了。
3、用浏览器访问站点www.4399.com进行登陆
这是童年的回忆,上号,冲!
我用户名和密码都输入123
用wireshark抓http的包。在上面的筛选栏输入http,筛选出http的包
在上面的筛选栏输入http.request.method=='POST',找请求方式为POST的请求包,因为这里4399登录时输入的用户名和密码是以POST的方式发给服务器的。成功找到输入的用户名和密码,密码是加密的方式。
tcpdump:
1、开启tcpdump,并监听本地网卡
2、远程登录 route-server.ip.att.net服务器(rviews/rviews)
用telnet远程登录 route-server.ip.att.net服务器(rviews/rviews),命令为telnet route-server.ip.att.net
用tcpdump抓telnet的包
找到telnet登录的用户名和密码 命令:tcpdump -i eth0 -nn -X
3、用浏览器访问站点www.4399.com进行登陆
我依然是用户名和密码都输入123
用tcpdump抓http的包
命令:tcp -i eth0 -vv port 80
找到4399用户名和密码 命令:tcpdump-i eth0 -nn -X “port 80”
总结:
讲道理,我还是觉得wireshark用的舒服,毕竟是图形化界面的工具。tcpdump命令行,有一说一用的比较难受,而且我个人感觉wireshark更加强大,可能是我还不会用tcpdump,没有发现它的强大之处吧~不过tcpdump抓完的包也可以导出,使用"-I"参数就行了。
本文始发于微信公众号(疯猫网络):网络抓包之wireshark与tcpdump
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论