NetXray捕获telnet登录口令(2)

　　顺便问一下，谁知道在Unix/Linux下编程的时候如何得到这4字节的CRC校验和，链路层编程收包得到的仅仅是以太网帧，没有CRC。

　　回到看口令的问题上来，设置了上述规则后，实际就可以看到用户名、口令以及登录后的击键了。干扰信息相当少，一眼就可以看出哪个是哪个。

　　如果要玩点玄的，比如Trigger，我们可以这样考虑问题。第一个有效包应该是59字节，前面的其他报文在做三次握手、TELNET协商，长度都不是59字节(可以抓包确认这个结论)。定义一条规"telnet_username begin"，对于这次的举例，实际就和"telnet_username_passwd"一样，但是最好选择后者做模板单独重新定义一次，为什么？这个以后自然就会明白，至少可以让设置清晰、直观些。

　　最后一个有效包(就是说看到这个包后停止抓包)应该是什么呢？不能是60字节的0D0A(对于微软平台的telnet)或者0D 00(Unix平台)，因为用户名输入结束的时候就有一次60字节的报文出现，如果选择这样的报文做结束报文，口令就抓不到了。考虑登录成功后服务器都会向客户机发送"Last login:"一类的信息，同一个包中还包括登录后的shell显示，这个包显然要比前后附近的包大很多(不是三四个字节的问题)。我们以此包为结束触发报文。定义一条规则"telnet_passwd end"，以"telnet_username begin"为模板创建，修改两个地方，一个是"Size > 100"，一个是"clientIp <-- serverIp"(反向，因为这个报文是从服务器到客户机的)。

　　至此我们定义了三条规则，一个开始触发规则、一个持续抓包规则、一个结束触发规则。开始设置Trigger：

　　Capture --> Trigger Setup...

　　四个复选框中只选中"Start Tigger"、"Stop Trigger"。因为以前没有设置过，无法从下拉列表中选择什么，只能分别定义触发器。以Start Trigger为例，进入Define，New一个新的触发器名字，起名'telnet_username begin"(不必和过滤规则一致，但是保持一致比较清晰)，右边三个复选框只选中最下面的"Event filter"，那个下拉列表里实际对应过滤规则，选中"telnet_username begin"过滤规则，确定。这里还可以设置什么时间开始触发，不过作为演示，简化这些可能。