環(huán)境：

路由器(包括TCPDUMP)可以登錄WIN10、ssh或telnet連接到路由器。

（openwrt固件可自行安裝tcpdump）

說明：

windows下不能直接用wireshark抓取局域網的全部數據包。只會抓到路由器的廣播包，以及發(fā)給你的包。

linux下可以開啟混雜模式，用tcpdump抓，mac沒試過。

思路：

在路由器上用tcpdump抓取數據包，將數據包拿到windows下用wireshark分析。

步驟：

1. 找到你要查找的局域網用戶的ip地址。(你可以登錄到路由器管理界面查看)

2. 使用遠程工具連接到路由器（本人使用putty）

遠程工具連接到路由器

上圖表示連接成功

3. 確認是否已安裝tcpdump

方法：輸入一個t后連續(xù)按兩次tab鍵，若出現tcpdump字樣表示已經安裝。

安裝tcpdump

4. 查找路由器內網網卡（即192.168開頭的那張網卡）

查看內網網卡

如圖，我的路由器內網網卡為br0

5. 使用tcmdump 命令抓取數據包，并保存為XXX.cap的格式

例如：我要抓取192.168.0.101的數據包并保存到/tm。

命令：tcpdump -i br0 host 192.168.0.101 -w /tm

-i :指定網卡

-w：保存文件

抓包

當加上-w參數時，不再顯示捕獲的數據包。

過一段時間后按ctrl+c停止捕獲.

6. 將保存捕獲到的數據包文件移動到windows下使用wireshark分析。（本人使用winscp）

7. 用wireshark打開進行分析。

• 查看pc端qq的賬號

這就非常簡單了（因為pc端qq使用OICQ協議很容易過濾出來），過濾欄輸入oicq，然后隨便打開一個數據包，就可看到其qq號。

查看pc端qq賬號

• 查看移動端QQ的賬號

因為是用的是TCP協議，而TCP數據包眾多，所以不方便過濾。

但是我發(fā)現在info欄中帶有scotty-ft字樣的數據包中可以找到qq號。你可以按ctrl+F選擇字符串過濾，過濾出scotty-ft字樣的數據包，然后點開看其data部分。在下面的16進制部分就可以看到一連串的數字那就是其qq號。（若是沒有data部分就換一個數據包）

查看移動端qq號

喜歡的用戶可以關注一波，日后會繼續(xù)分享更多計算機技術