|
 | 作者: deletetree [deletetree]
 论坛用户 |
登录 |
| 如何截获本机某个端口所发送、接收的数据包? 比如网络游戏《天堂2》(私服),登陆游戏后,用netstat命令显示 TCP ******:4748 ***.***.***.***:2106 TIME_WAIT TCP ******:4749 ***.***.***.***:7777 ESTABLISHED . 我的用户名 私服服务器地址:端口 端口2106是游戏服务器,7777是验证服务器 如果我用wep在游戏开始前就进行拦截,发现嗅探到的第一个封包是从服务器发送回来的,而正常的话第一个封包应该是从客户端发送出去的,换句话说,也就是wep少拦截了1个或几个封包。这有可能是游戏开发商出于防止盗号或其他目的,使用了其他的什么方法。 现在我的思路是直接监视本机的4748、4749端口,这样就可以一个封包不少了。问题是该用什么方法或什么软件才能实现监听本机端口的目的? 哪位高手能给指点一二,谢谢。 |
| 地主 发表时间: 05-11-02 20:46 |
 | 回复: nallfather [nallfather]  论坛用户 |
登录 |
|
你开机就先运行嗅探软件试一下 |
| B1层 发表时间: 05-11-02 21:49 |
| 回复: deletetree [deletetree] 论坛用户 |
登录 |
|
用什么嗅探软件比较好? |
| B2层 发表时间: 05-11-02 22:47 |
 | 回复: XO [guang0701]  论坛用户 |
登录 |
|
用这个试试 WinSock Expert v0.6 beta1汉化版 |
| B3层 发表时间: 05-11-03 08:00 |
 | 回复: virgoshaka [virgoshaka] 论坛用户 |
登录 |
|
我觉得你应该针对服务器ip抓包而不是针对本地端口抓包。。。。 因为照你说的服务器采用了某些措施的话,本地端口这么多你根本管不过来。。。 抓包可以用sniffer pro,专业抓包工具,很猛的,呵呵,也可以定义抓包规则,就是复杂了一点。。。 [此贴被 处女座的沙加(virgoshaka) 在 11月03日14时26分 编辑过] |
| B4层 发表时间: 05-11-03 14:22 |
| 回复: deletetree [deletetree] 论坛用户 |
登录 |
|
好,我试试先,多谢各位了。 另外,可能是我开始说的不够清楚。出现这个问题主要是因为这个SF有个反外挂登陆器,必须使用他的登陆器才能正常登陆游戏,直接使用客户端或外挂无法登陆。 而这个SF是把游戏的key修改了,而且没有写在游戏客户端程序里,是由登陆器在此SF专用登陆器在登陆的时候在内存里动态修改,然后再把正确的key发送到服务器。 我抓本地发送的数据包主要目的是想得到登陆器修改key后,由客户端发送的正确的key信息,并用软件模仿(如wpe),以便直接使用客户端或外挂登陆。  |
| B5层 发表时间: 05-11-05 20:16 |
| 回复: deletetree [deletetree] 论坛用户 |
登录 |
|
先感谢 灌水N神、 XO、处女座的沙加 的热心帮助。 我下了Sniffer,的确复杂,我对网络所知甚少,另下了中文使用说明在学习。 wsock expert倒是简单,不过还是有很多不明白的地方。 1、“状态”中的send和WSARecv是什么意思? 2、地址栏,有些奇怪的ip地址: 0.0.0.0:0 怎么会有这种IP?端口0?这是什么端口? 127.0.0.1:22280 为什么不是我机器的真实ip而是这个? 32.0.0.0:0 这个是什么地址?又是端口0。 160.0.0.0:0 同上。 3、我用netstat命令看到的是***.***.***.***:2106,用防火墙拦的也是,而在winsock里截获的却都是***.***.***.***:14856?  |
| B6层 发表时间: 05-11-05 21:13 |
| 回复: virgoshaka [virgoshaka] 论坛用户 |
登录 |
|
0.0.0.0:0 就是任意地址的任意端口~~~ 127.0.0.1 应该叫环路地址吧,就是你本机的地址 最后一个大概是你的2106端口去连接服务器的14856端口了。。。。 |
| B7层 发表时间: 05-11-05 22:46 |
| 回复: deletetree [deletetree] 论坛用户 |
登录 |
|
1、为什么会出现向任意端口发送数据? 2、科能是我没说清楚,我用netstat命令看到的是 服务器IP:2106,用防火墙拦的也是,而在winsock里截获的却都是 服务器IP:14856,为什么端口是不一样的?而且正常的话应该也是连接服务器的2106端口。 |
| B8层 发表时间: 05-11-06 14:21 |
| 回复: virgoshaka [virgoshaka] 论坛用户 |
登录 |
|
第一个不知道。。。。可能是监听的地址吧,监听来自任意IP的任意端口 第二个很正常啊,说明服务器用了不止一个端口来管理客户端的连接啊 |
| B9层 发表时间: 05-11-06 14:47 |
| 回复: deletetree [deletetree] 论坛用户 |
登录 |
嗯,我明白了。 还有一个问题,我是否可以直接抓取从本机发往服务器的数据,不管是从那个进程发出的数据包,只要是发往服务器的数据就抓下来。  |
| B10层 发表时间: 05-11-06 22:33 |
| 回复: virgoshaka [virgoshaka] 论坛用户 |
登录 |
|
对啊我一开始说的就是这个意思。。。 |
| B11层 发表时间: 05-11-06 22:52 |
| 回复: deletetree [deletetree] 论坛用户 |
登录 |
 用WinSock Expert v0.6 beta1好像没办法实现,只能选择某个程序截获。必须用sniffer pro吗?这个比较麻烦,能简单介绍一下怎么设置吗?说明书太长了,看的头晕。。。。。。。。。。。。。 |
| B12层 发表时间: 05-11-07 09:29 |
| 回复: virgoshaka [virgoshaka] 论坛用户 |
登录 |
|
不用看说明书的。。。那里面都协议分析的内容。。。如果不研究很深的话。。。 自己试着用就可以了,呵呵 先定义抓包规则,菜单capture-define filter-address,选IP,station1填服务器ip,station2填any,双向箭头,就可以了 然后点start,过段时间stop,display,选decode就可以看到数据包~~~ [此贴被 处女座的沙加(virgoshaka) 在 11月07日09时57分 编辑过] |
| B13层 发表时间: 05-11-07 09:56 |
| 回复: deletetree [deletetree] 论坛用户 |
登录 |
明白了,太好了。 截获以后就是欺骗服务器的问题了,如何才能把由外挂发送到服务器的一个数据包换成另一个数据包? |
| B14层 发表时间: 05-11-07 11:02 |
| 回复: virgoshaka [virgoshaka] 论坛用户 |
登录 |
|
没那么容易的。。有可能key都加密了。。弄清连接的议过程都很困难 那么容易让你伪造那帮人岂不白混了?呵呵 |
| B15层 发表时间: 05-11-07 12:33 |
| 回复: deletetree [deletetree] 论坛用户 |
登录 |
说的有道理。不过困难也得弄,不然打不成。公司的电脑太次,不能玩,真能用外挂上去过过瘾了,咳。。。。。。 |
| B16层 发表时间: 05-11-07 12:41 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 【求助】如何截获本机某个端口所发送、接收的数据包?