Wireshark 分析 Telnet 流量完整实操教程

📅 2026/7/4 3:03:55
Wireshark 分析 Telnet 流量完整实操教程
Wireshark 分析 Telnet 流量完整实操教程一、前置知识Telnet 协议基础传输端口默认 TCP 23 端口无任何加密所有交互账号、密码、命令、输出全明文传输。通信流程TCP 三次握手 → Telnet 选项协商 → 登录交互用户名/密码明文→ 命令交互 → TCP 四次挥手断开。核心缺陷中间人抓包可直接窃取账号密码生产环境一律替换为 SSH。二、实验环境准备1. 开启 Telnet 服务Windows/LinuxWindows管理员CMD# 启用Telnet服务端 dism /online /Enable-Feature /FeatureName:TelnetServer # 防火墙放行23端口 netsh advfirewall firewall add rule nameTelnet dirin actionallow protocolTCP localport23LinuxUbuntu/Kalisudoaptinstalltelnetd-ysudosystemctl start inetdsudoufw allow23/tcp2. 客户端连接测试telnet 目标IP23# 输入用户名、密码、执行命令制造可抓包流量三、Wireshark 捕获 Telnet 流量步骤步骤1选择正确网卡抓包打开 Wireshark首页网卡列表选择当前业务网卡有线以太网/Ethernet无线WLAN/Wi‑Fi虚拟机VMnet8/仅主机网卡双击网卡启动实时抓包鲨鱼图标。步骤2过滤 Telnet 流量两种过滤器顶部显示过滤器输入表达式回车生效过滤无关流量按协议过滤推荐telnet按端口过滤tcp.port 23组合过滤指定目标IPtelnet ip.dst 192.168.1.100步骤3停止抓包完成 Telnet 操作后点击顶部红色停止按钮保存.pcap文件方便后续复盘。四、三层窗口数据包结构解读Wireshark 分为三栏从上至下依次分析1. 数据包列表上层关键字段说明Source/Destination客户端临时端口 ↔ 服务端23端口ProtocolTELNET基于TCP封装InfoTelnet Data代表业务字符数据带DO/WILL为 Telnet 协商包2. 数据包详情中层展开层级Frame → Ethernet → IP → TCP → TelnetTelnet 层核心字段Data单字符明文Telnet 逐字符发包输入一个字母发一个包Telnet 控制命令DO/WILL/DONT/WONT终端协商参数TCP 层可查看序列号、ACK、窗口大小、分片信息3. 字节原始数据下层左侧十六进制右侧 ASCII 明文选中上层Telnet.Data会自动高亮对应明文字节。五、核心操作还原完整 Telnet 会话查看明文账号密码方法1Follow TCP Stream最常用完整会话任意选中一条TELNET数据包右键 →Follow→TCP Stream弹窗规则红色文字客户端发送内容输入的用户名、密码、命令蓝色文字服务器返回内容登录提示、命令输出编码默认ASCII可切换HEX、UTF‑8直接提取明文login:后红色字符用户名Password:后红色字符登录密码原理Telnet 输入密码时服务端不回显但客户端发送的每个字符依然明文发包流追踪可完整拼接出完整密码。方法2逐包查看单字符过滤后逐条向下翻包每个Telnet Data仅1个ASCII字符拼接所有客户端上行包即可还原账号密码。六、Telnet 完整通信流程抓包分析阶段1TCP 三次握手建立底层连接过滤后最前面3条TCP包无Telnet层客户端 → 服务端SYN请求连接服务端 → 客户端SYN‑ACK确认回连客户端 → 服务端ACK连接就绪阶段2Telnet 选项协商WILL/DO 控制包握手完成后大量短包用于协商终端类型、回显、换行等参数无业务数据。阶段3登录认证明文交互重点服务器下发login:蓝色文字客户端逐字符发送用户名红色单字符包服务器下发Password:客户端逐字符发送密码红色无回显但明文可见认证通过后进入命令行交互阶段4命令交互所有输入指令、服务器返回结果全部明文传输。阶段5TCP 四次挥手断开连接输入exit后触发TCP正常断开。七、实用高级过滤技巧只筛选包含密码提示的包telnet contains Password:只看客户端上行发送的数据telnet tcp.dstport 23捕获过滤器抓包前启用减少冗余包捕获选项过滤器填入tcp port 23仅捕获23端口流量降低内存占用。八、常见问题与避坑过滤后看不到Telnet协议确认网卡选择正确Telnet连接建立后再抓包防火墙放行23端口连接正常通信。Follow TCP Stream看不到完整密码密码输入过程中持续抓包不要输完再启动捕获切换流窗口编码为ASCII。大量协商包干扰查看过滤器追加排除协商命令telnet !telnet.cmd安全对比提示同等场景抓SSH22端口Follow TCP Stream只会显示乱码无任何明文直观体现Telnet安全漏洞。九、总结Telnet 基于TCP 23端口全程明文Wireshark可一键还原完整会话telnet显示过滤器快速筛选流量Follow TCP Stream是分析明文账号密码的核心功能抓包可直观证明Telnet传输风险生产环境必须使用加密SSH替代。