捕获telnet登录口令(3)

Trigger作用下的显示结果显式标注了Start Trigger和Stop Trigger的位置，这之间的就是我们关心的内容。先是用户名，然后紧跟口令明文，最后是两次登录成功的击键。0D 0A或者0D 00被过滤掉，登录协商信息也被扔掉了。 

如果不熟悉sniffer pro的操作，可能看了之后还是比较模糊，可以对照着实地操作 一下，其实不难。开始触发规则和持续抓包规则可以不一样，这次举例比较特殊而已。 现在交换环境以及加密传输越来越普及，单纯靠这些小把戏抓口令已经意义不大了。 

很多人估计从来就没有用过Trigger。你验证过之后完全可以根据自己实际需要定义Trigger，基本思路是，定义三条规则，一个开始触发、一个持续抓包、一个结束触发，要区分共性、特性，考虑结合时间触发设置。至于Alarm触发设置，以后有实际应用举例的时候再介绍，现在介绍你晕我也晕。 

Pwin98下Sniffer Pro 2.6毛病很多，使用Trigger后很容易蓝屏。我没有切换到2K下测试4.5版是否还有这个毛病。 

今天发现telnet过程使用行输入模式是荒芜陈旧的，不推荐使用，但用户可以Ctrl-] 进入telnet>模式，输入mode line(可能要两次)切换到行输入模式，Pwin98的 telnet.exe如何切换进入行输入模式，我也不知道。 

如果有人吃疯了，以行输入模式登录，口令明文就在单包中，用户名在另一单包中， 更容易恢复出来。作为上述Trigger设置却要失效了。Cterm登录的时候用的应该就是行输入模式。此时一个办法就是不用Trigger，直接抓包看就可以了。如果要指定 Trigger，应该修改开始触发规则和持续抓包规则，结束触发规则不必修改。持续抓 包规则就设置成telnet协议报文即可，因为用户名和口令明文到底多长不清楚，即使 还做数据区长度限制，也应该换成 58 < Size < 100。开始触发规则换成Size = 70， 从客户机到服务器，这样的包在login提示符出现前只有一个，是个telnet协商报文， 也比较靠近login提示符出现的时候，干扰信息较少，我暂时没有更好的想法来设置 开始触发规则。 

修正后的Trigger既可以对付单字符输入模式登录，也可以对付行输入模式登录，不过在对付单字符输入模式登录的时候没有前一个Trigger好，干扰信息稍微多了几个。 

这里介绍的Trigger不是最好的，仅仅是演示效果。大家可以发挥自己的想象力设置高效实用的Trigger(我憎恨Trigger，回去睡觉，2001-04-15 07:56)。