環境:
路由器(老毛子華碩固件,自帶tcpdump)+ win10,且能登錄ssh或telnet連接到路由器。(openwrt固件可自行安裝tcpdump)
說明:
windows下不能直接用wireshark抓取局域網的全部數據包。只會抓到路由器的廣播包,以及發給你的包。
linux下可以開啟混雜模式,用tcpdump抓,mac沒試過。
思路:
在路由器上用tcpdump抓取數據包,將數據包拿到windows下用wireshark分析。
步驟:
1. 找到你要查找的局域網用戶的ip地址。(你可以登錄到路由器管理界面查看)
2. 使用遠程工具連接到路由器(本人使用putty)
上圖表示連接成功
3. 確認是否已安裝tcpdump
方法:輸入一個t後連續按兩次tab鍵,若出現tcpdump字樣表示已經安裝。
4. 查找路由器內網網卡(即192.168開頭的那張網卡)
如圖,我的路由器內網網卡為br0
5. 使用tcmdump 命令抓取數據包,並保存為XXX.cap的格式
例如:我要抓取192.168.0.101的數據包並保存到/tmp/192.168.0.101.cap。
命令:tcpdump -i br0 host 192.168.0.101 -w /tmp/192.168.0.101.cap
-i :指定網卡
-w:保存文件
當加上-w參數時,不再顯示捕獲的數據包。
過一段時間後按ctrl+c停止捕獲.
6. 將保存捕獲到的數據包文件移動到windows下使用wireshark分析。(本人使用winscp)
7. 用wireshark打開進行分析。
- 查看pc端qq的賬號
這就非常簡單了(因為pc端qq使用OICQ協議很容易過濾出來),過濾欄輸入oicq,然後隨便打開一個數據包,就可看到其qq號。
- 查看移動端QQ的賬號
因為是用的是TCP協議,而TCP數據包眾多,所以不方便過濾。
但是我發現在info欄中帶有scotty-ft字樣的數據包中可以找到qq號。你可以按ctrl+F選擇字符串過濾,過濾出scotty-ft字樣的數據包,然後點開看其data部分。在下面的16進制部分就可以看到一連串的數字那就是其qq號。(若是沒有data部分就換一個數據包)
喜歡的用戶可以關注一波,日後會繼續分享更多計算機技術
閱讀更多 計算機實用指南 的文章