1. 在此我已經有一個監聽某人在網路上所有動作的檔案
我先用wireshark把它打開
2. 注意到我們要觀察的tcp封包
3. 對其中一個tcp封包點選右鍵,點選Follow tcp Stream
4. Wireshark會開始過濾出tcp stream封包
並且出現Follow tcp Stream的視窗
5. 其中紅底的部分"RETR"代表他去抓取某個東西
向下面的例子,他去抓了About.txt
6. 假如今天我們想知道About.txt的內容,但又不知道它的位置,
可用下面的方法找出來
首先,有注意到上面多括了一行
"227 Entering Passive Mode (192,168,1,2,8,43)"
前面的(192,168,1,2)應該是它的ip位置
而後面的8,43即為他抓取此檔案所開的port
利用小算盤,把800轉成10進位加上43
算出來的結果為2091
回到wireshark
左上角有一欄filter
在裡面填入 "tcp.port==2091"
7. 對第一個TCP封包點右鍵,選擇" Follow tcp Stream"
8. 因為這是txt檔,他是明碼傳輸,所以直接看到的就是About.txt的內容
※如果他抓的檔案不是明碼傳輸
則先按左下角的Save As
ex: 我要看的是mp3檔,我存成abc.mp3
B. 利用Wireshark去抓取不知道路徑的東西
沒有留言:
張貼留言