扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
顺便问一下,谁知道在Unix/Linux下编程的时候如何得到这4字节的CRC校验和,链路层编程收包得到的仅仅是以太网帧,没有CRC。
回到看口令的问题上来,设置了上述规则后,实际就可以看到用户名、口令以及登录后的击键了。干扰信息相当少,一眼就可以看出哪个是哪个。
如果要玩点玄的,比如Trigger,我们可以这样考虑问题。第一个有效包应该是59字节,前面的其他报文在做三次握手、TELNET协商,长度都不是59字节(可以抓包确认这个结论)。定义一条规"telnet_username begin",对于这次的举例,实际就和"telnet_username_passwd"一样,但是最好选择后者做模板单独重新定义一次,为什么?这个以后自然就会明白,至少可以让设置清晰、直观些。
最后一个有效包(就是说看到这个包后停止抓包)应该是什么呢?不能是60字节的0D0A(对于微软平台的telnet)或者0D 00(Unix平台),因为用户名输入结束的时候就有一次60字节的报文出现,如果选择这样的报文做结束报文,口令就抓不到了。考虑登录成功后服务器都会向客户机发送"Last login:"一类的信息,同一个包中还包括登录后的shell显示,这个包显然要比前后附近的包大很多(不是三四个字节的问题)。我们以此包为结束触发报文。定义一条规则"telnet_passwd end",以"telnet_username begin"为模板创建,修改两个地方,一个是"Size > 100",一个是"clientIp <-- serverIp"(反向,因为这个报文是从服务器到客户机的)。
至此我们定义了三条规则,一个开始触发规则、一个持续抓包规则、一个结束触发规则。开始设置Trigger:
Capture --> Trigger Setup...
四个复选框中只选中"Start Tigger"、"Stop Trigger"。因为以前没有设置过,无法从下拉列表中选择什么,只能分别定义触发器。以Start Trigger为例,进入Define,New一个新的触发器名字,起名'telnet_username begin"(不必和过滤规则一致,但是保持一致比较清晰),右边三个复选框只选中最下面的"Event filter",那个下拉列表里实际对应过滤规则,选中"telnet_username begin"过滤规则,确定。这里还可以设置什么时间开始触发,不过作为演示,简化这些可能。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。