|
|
网络上流过的数据包可谓是“波涛汹涌”,如何在如此多的内容中选出MSN的聊天内容的包呢?
Ethereal帮你解决!
ETHEREAL中MSN消息包的过滤表达式
大家知道,MSN消息的传输基本是明文传输的,在用ETHEREAL抓包时,只对聊天内容感兴趣,因此做了一个显示过滤,如下:
1)过滤MSN消息
msnms
2)过滤发出的消息(格式:MSG 64 N 128,前面的那个数值是消息的序号,每次加1)
frame[54:80] matches "^MSG [0-9]* N"
3)过滤收到的消息(格式:MSG abc@hotmail.com 妮称 642)
frame[54:80] matches "^MSG [a-z,0-9]*@[a-z,0-9]*" && !(msnms contains "TypingUser")
然后组合三个条件 : 1 && (2 || 3)
以下是经过实际验证的过滤表达式:
(msnms) && ((frame[54:80] matches "^MSG [0-9]* N") ||((frame[54:80] matches "^MSG [a-z,0-9]*@[a-z,0-9]*" ) && !(msnms contains "TypingUser")))
如果要对某个人的聊天记录进行sniffer,只需要增加一个 ip.addr==x.x.x.x就可以了
叹!Ethereal的过滤功能实在是强大,连正则表达式都支持,非常实用!!! |
|
发表于 2006-6-29 15:05:53
发表于 2006-7-7 10:25:56