利用协议分析工具学习TCP/IP（续1）（3）

图21

图22

图23

图24

步骤2：抓包

按F10键出现图15界面，开始抓包。

步骤3：运行FTP命令

本例使FTP到一台开有FTP服务的Linux机器上

D:\>ftp 192.168.113.50

Connected to 192.168.113.50.

220 test1 FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000) ready.

User (192.168.113.50:(none)): test

331 Password required for test.

Password:

步骤4：察看结果

图16中箭头所指的望远镜图标变红时，表示已捕捉到数据，点击该图标出现图25界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。可以清楚地看出用户名为test密码为123456789。

图25

解释：

虽然把密码抓到了，但大家也许设不理解，将图19中Packet Size设置为 63 -71是根据用户名和口令的包大小来设置的，图25可以看出口令的数据包长度为70字节，其中协议头长度为：14+20+20=54，与telnet的头长度相同。Ftp的数据长度为16，其中关键字PASS占4个字节，空格占1个字节，密码占9个字节，Od 0a(回车 换行)占2个字节，包长度=54+16=70。如果用户名和密码比较长那么Packet Size的值也要相应的增长。

Data Pattern中的设置是根据用户名和密码中包的特有规则设定的，为了更好的说明这个问题，请在开着图15的情况下选择Capture菜单中的Defind Filter，如图20所示，选择Data Pattern项，点击箭头所指的Add Pattern按钮，出现图26界面，选择图中1所指然后点击2所指的Set Data按钮。OFFset、方格内、Name将填上相应的值。

同理图27中也是如此。

这些规则的设置都是根据你要抓的包的相应特征来设置的，这些都需要对TCP/IP协议的深入了解，从图28中可以看出网上传输的都是一位一位的比特流，操作系统将比特流转换为二进制，Sniffer这类的软件又把二进制换算为16进制，然后又为这些数赋予相应的意思，图中的18指的是TCP协议中的标志位是18。OFFset指的是数据包中某位数据的位置，方格内填的是值。

图26

图27

图28

4、抓HTTP密码

步骤1：设置规则

按照下图29、30进行设置规则，设置方法同上。

图29

图30

步骤2：抓包

按F10　键开始抓包。

步骤3：访问www.ccidnet.com网站

步骤4：察看结果

图16中箭头所 指的望远镜图标变红时，表示已捕捉到数据，点击该图标出现图31界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。在Summary中找到含有POST关键字的包，可以清楚地看出用户名为qiangkn997，密码为?，这可是我邮箱的真实密码！当然不能告诉你，不过欢迎来信进行交流。