环境：

路由器（老毛子华硕固件，自带TCPdump）+ win10，且能登录ssh或telnet连接到路由器。（openwrt固件可自行安装tcpdump）

说明：

windows下不能直接用wireshark抓取局域网的全部数据包。只会抓到路由器的广播包，以及发给你的包。

linux下可以开启混杂模式，用tcpdump抓，mac没试过。

思路：

在路由器上用tcpdump抓取数据包，将数据包拿到windows下用wireshark分析。

步骤：

1. 找到你要查找的局域网用户的ip地址。(你可以登录到路由器管理界面查看)

2. 使用远程工具连接到路由器（本人使用putty）

远程工具连接到路由器

上图表示连接成功

3. 确认是否已安装tcpdump

方法：输入一个t后连续按两次tab键，若出现tcpdump字样表示已经安装。

安装tcpdump

4. 查找路由器内网网卡（即192.168开头的那张网卡）

查看内网网卡

如图，我的路由器内网网卡为br0

5. 使用tcmdump 命令抓取数据包，并保存为XXX.cap的格式

例如：我要抓取192.168.0.101的数据包并保存到/tm。

命令：tcpdump -i br0 host 192.168.0.101 -w /tm

-i :指定网卡

-w：保存文件

抓包

当加上-w参数时，不再显示捕获的数据包。

过一段时间后按ctrl+c停止捕获.

6. 将保存捕获到的数据包文件移动到windows下使用wireshark分析。（本人使用winscp）

7. 用wireshark打开进行分析。

• 查看pc端qq的账号

这就非常简单了（因为pc端qq使用OICQ协议很容易过滤出来），过滤栏输入oicq，然后随便打开一个数据包，就可看到其qq号。

查看pc端qq账号

• 查看移动端QQ的账号

因为是用的是TCP协议，而TCP数据包众多，所以不方便过滤。

但是我发现在info栏中带有scotty-ft字样的数据包中可以找到qq号。你可以按ctrl+F选择字符串过滤，过滤出scotty-ft字样的数据包，然后点开看其data部分。在下面的16进制部分就可以看到一连串的数字那就是其qq号。（若是没有data部分就换一个数据包）

查看移动端qq号

喜欢的用户可以关注一波，日后会继续分享更多计算机技术