NetXray捕获telnet登录口令(3)

　　Capture的下拉列表里也是对应的过滤规则，选中"telnet_username_passwd"过滤规则(持续抓包规则)。

　　"Stop Trigger"的定义类似"Start Trigger"，这次选择"telnet_passwd end"过滤规则，起名"telnet_passwd end"。同样，演示中不考虑时间设置，简化操作。

　　可以指定在结束触发条件满足后还多抓几个包，比如指定多抓2个包。

　　确定后这个触发器生效。什么意思呢。Sniffer Pro自动开始捕获报文，但是并不保存，直到碰上一个报文匹配了"telnet_username begin"过滤规则，此时开始保存在自己的缓冲区中。然后根据Capture处选择的"telnet_username_passwd"过滤规则持续抓包。一直到结束触发条件"telnet_passwd end"被满足。多抓两个包后彻底停止抓包。查看结果，就完整地对应了登录过程中用户名、口令的输入过程，很容易恢复出口令明文和用户名。

　　Trigger作用下的显示结果显式标注了Start Trigger和Stop Trigger的位置，这之间的就是我们关心的内容。先是用户名，然后紧跟口令明文，最后是两次登录成功的击键。0D 0A或者0D 00被过滤掉，登录协商信息也被扔掉了。

　　如果不熟悉sniffer pro的操作，可能看了之后还是比较模糊，可以对照着实地操作一下，其实不难。开始触发规则和持续抓包规则可以不一样，这次举例比较特殊而已。现在交换环境以及加密传输越来越普及，单纯靠这些小把戏抓口令已经意义不大了。

　　很多人估计从来就没有用过Trigger。你验证过之后完全可以根据自己实际需要定义Trigger，基本思路是，定义三条规则，一个开始触发、一个持续抓包、一个结束触发，要区分共性、特性，考虑结合时间触发设置。至于Alarm触发设置，以后有实际应用举例的时候再介绍，现在介绍你晕我也晕。

　　Pwin98下Sniffer Pro 2.6毛病很多，使用Trigger后很容易蓝屏。我没有切换到2K下测试4.5版是否还有这个毛病。

　　今天发现telnet过程使用行输入模式是荒芜陈旧的，不推荐使用，但用户可以Ctrl-]进入telnet>模式，输入mode line(可能要两次)切换到行输入模式，Pwin98的telnet.exe如何切换进入行输入模式，我也不知道。