NetXray捕获telnet登录口令(4)

　　如果有人吃疯了，以行输入模式登录，口令明文就在单包中，用户名在另一单包中，更容易恢复出来。作为上述Trigger设置却要失效了。Cterm登录的时候用的应该就是行输入模式。此时一个办法就是不用Trigger，直接抓包看就可以了。如果要指定Trigger，应该修改开始触发规则和持续抓包规则，结束触发规则不必修改。持续抓包规则就设置成telnet协议报文即可，因为用户名和口令明文到底多长不清楚，即使还做数据区长度限制，也应该换成 58 从客户机到服务器，这样的包在login提示符出现前只有一个，是个telnet协商报文，也比较靠近login提示符出现的时候，干扰信息较少，我暂时没有更好的想法来设置开始触发规则。

　　修正后的Trigger既可以对付单字符输入模式登录，也可以对付行输入模式登录，不过在对付单字符输入模式登录的时候没有前一个Trigger好，干扰信息稍微多了几个。

　　这里介绍的Trigger不是最好的，仅仅是演示效果。大家可以发挥自己的想象力设置高效实用的Trigger(我憎恨Trigger，回去睡觉，2001-04-15 07:56)。

　　下午过来时想到，开始触发规则可以用clientIp <-- serverIp，服务器始终会给客户机一个"login:"提示，可以用它做开始触发。对于登录Solaris和Linux有所不同，需要分别抓包确认其中区别，比如Solaris提示"login:"之后还有一些协商过程，而Linux没有。输入口令错误，第二次提示"login:"的报文就和Linux一样了，也是65个字节(包括CRC)。提示"login:"的时候，如果连续两次回车，服务器给客户机的提示报文又有不同。根据具体情况抓包分析，按照某种原则选择合适的报文，设置开始触发规则。显然没有一劳永逸、放之四海皆准的触发规则。

　　对于结束触发规则，如果服务器上用户主目录$HOME下有一个.hushlogin文件存在，则服务器回显客户机的时候，没有"Last login:"信息，顶多是登录shell的显示(也就几个字节)，此时前面设置的结束触发规则失效。演示举例中不考虑这些非普遍现象，真要对付所有情况，应该自己写程序做内容过滤，确定各种触发条件。