本帖最后由 zhaorong 于 2021-4-19 14:28 编辑

写在前面：

这里分别用wireshark和tcpdump来抓包 具体使用在其它两篇文章里有讲述("tcpdump抓包工具Wireshark抓包工具")。
底下有涉及到telnet命令，如果Windows中提示：telnet不是内部或外部命令怎么办？这里主要说下Windows下该怎么解决
开始　→　控制面板　→　程序和功能　→　启用或关闭Windows功能 在这里就可以看到telnet服务器和telnet客服端
Telnet Client"打勾 然后就可以使用telnet命令了。


而telnet 服务器在Windows 10已经找不到了 因为是为功能删除或弃用。实在想要的话可以自己去网上下载。

wireshark：

1、开启Wireshark，并监听本地网卡；

2、远程登录 route-server.ip.att.net服务器（rviews/rviews）
用telnet远程登录 route-server.ip.att.net服务器（rviews/rviews）命令
为telnet route-server.ip.att.net



用wireshark抓到telnet的包


在上面的筛选栏输入telnet，筛选出telnet的包 然后找到其中数据长度最大的包 右键点击追踪流的“TCP流”



查看到我登录的用户名和密码了
注意这里的 login 中的登录用户名每个字符都会重复一次 这是为什么呢？这里就要说到telnet的工作模式了。
telnet工作模式有四种：

1） 半双工：客户端在接收用户输入之前必须从服务器进程获得GO AHEAD G A命令现在已很少使用
2）一次一个字符：客户端把用户输入的每个字符都单独发送给服务器 服务器回显字符给客户端.是目前大多
数Telnet程序的默认方式. SUPPRESS GO AHEAD选项和ECHO选项必须同时有效

3） 准行方式（kludge line mode): 用户每键入一行=信息客户端向服务器发送一次
当上面两个选项其中之一无效时采用此模式
4） 行方式：类似准行方式 纠正了准行方式的缺点较新的Telnet程序支持这种方式。

而这里的telnet的工作模式是一次一个字符 客户端把用户输入的每个字符都单独发送给服务器
服务器再回显字符给客户端，所以就来回一次。而 Password 只有一次是因为规定就是这样毕
竟是密码，服务器就不会再返回一次了。
3、用浏览器访问站点www.4399.com进行登陆

这是童年的回忆 上号，冲！
我用户名和密码都输入123


用wireshark抓http的包。在上面的筛选栏输入http，筛选出http的包


在上面的筛选栏输入http.request.method=='POST'，找请求方式为POST的请求包
因为这里4399登录时输入的用户名和密码是以POST的方式发给服务器的。成功找到
输入的用户名和密码，密码是加密的方式。


tcpdump:

1、开启tcpdump，并监听本地网卡

2、远程登录 route-server.ip.att.net服务器（rviews/rviews）
用telnet远程登录 route-server.ip.att.net服务器（rviews/rviews）命令为telnet route-server.ip.att.net

用tcpdump抓telnet的包


找到telnet登录的用户名和密码    命令：tcpdump -i eth0 -nn -X


3、用浏览器访问站点www.4399.com进行登陆

我依然是用户名和密码都输入123

用tcpdump抓http的包
命令：tcp -i eth0 -vv port 80


找到4399用户名和密码 命令：tcpdump-i eth0 -nn -X “port 80”


总结：

讲道理，我还是觉得wireshark用的舒服，毕竟是图形化界面的工具。tcpdump命令行 有一说一用的比较难受
而且我个人感觉wireshark更加强大 可能是我还不会用tcpdump，没有发现它的强大之处吧~不过tcpdump抓
完的包也可以导出。