中间人攻击实证：ARP欺骗+Telnet流量劫持演练

第3章 第15.2天

Telnet协议：远程终端的经典之作

大家好，今天我们来聊聊远程管理的"活化石"——Telnet协议。虽然它已被SSH取代，但理解它的工作原理对我们学习网络协议很有帮助。我会用访问校园路由器、调试实验室设备的真实场景，带你拆解Telnet的工作机制。

---

一、Telnet协议基础：远程控制的基石

协议本质：基于TCP 23端口的明文远程终端协议
典型场景：

• 访问不支持SSH的老式路由器
• 调试实验室的工控设备
• 模拟网络设备的管理接口

# Python实现简易Telnet客户端
import telnetlib

def connect_to_device(host, username, password):
try:
# 建立TCP连接
tn = telnetlib.Telnet(host, port=23, timeout=5)

# 等待登录提示
tn.read_until(b"Username: ")
tn.write(username.encode() + b"\n")

tn.read_until(b"Password: ")
tn.write(password.encode() + b"\n")

# 执行命令
tn.write(b"show interfaces\n")
output = tn.read_until(b"#").decode()
print(output)

finally:
tn.write(b"exit\n")# 优雅退出
tn.close()

---

二、协议工作原理：客户端与服务的协作

客户端工作流程（如PuTTY）：

1. 建立TCP连接：连接目标23端口
2. 终端模拟：将本地键盘输入转为NVT格式
3. 数据传输：发送命令到服务端
4. 结果展示：将NVT输出转为本地终端格式

服务端工作流程（如Cisco IOS）：

1. 监听端口：等待23端口的连接
2. 创建会话：为每个连接创建虚拟终端（VTY）
3. 命令执行：将接收的命令传递给操作系统
4. 结果返回：将输出格式化为NVT发回

sequenceDiagram 客户端->>服务端: TCP SYN请求 服务端-->>客户端: SYN+ACK响应 客户端->>服务端: ACK确认（连接建立） 服务端->>客户端: "Username: "提示 客户端->>服务端: 发送用户名 服务端->>客户端: "Password: "提示 客户端->>服务端: 发送密码 服务端->>客户端: 命令提示符 客户端->>服务端: "show interface"命令 服务端->>客户端: 接口状态信息

---

三、网络虚拟终端（NVT）：跨平台的桥梁

核心设计：解决不同终端兼容性问题

• 标准键盘映射：将本地按键转为通用编码
• 统一字符集：7位ASCII基础字符集
• 控制命令：特殊字符组合实现终端控制

// NVT控制命令示例
#define NUL 0x00 // 空操作
#define LF0x0A // 换行
#define CR0x0D // 回车
#define BEL 0x07 // 响铃
#define IAC 0xFF // 转义标识 (Interpret As Command)

// Telnet选项协商
#define WILL 0xFB // 愿意启用选项
#define DO0xFD // 要求对方启用
#define WONT 0xFC // 拒绝启用
#define DONT 0xFE // 要求对方禁用

---

四、安全缺陷：为何被SSH取代

致命弱点：

1. 明文传输

• 用户名密码在网络中裸奔
• 敏感操作完全暴露

2. 无身份验证

• 无法验证服务器真实性
• 中间人攻击风险极高

抓包验证：

# 在局域网中捕获Telnet流量
tcpdump -i eth0 port 23 -w telnet.pcap

使用Wireshark打开后可直接查看所有命令内容和密码

---

五、Wireshark实战分析：解密Telnet会话

实验目标：分析AT&T路由服务器的Telnet会话

1. 建立连接：

telnet route-server.ip.att.net
用户名：rviews
密码：rviews

2. Wireshark过滤：

tcp.port == 23 && ip.addr == 192.205.34.76

3. 关键分析点：

• TCP握手：SYN → SYN+ACK → ACK序列
• 认证过程：明文传输的用户名/密码
• 命令交互：逐字符传输的特性
• 控制字符：IAC开头的选项协商

流量特征：

• 每个按键产生独立数据包
• 服务器回显输入字符
• 命令结果以CRLF结尾

---

六、现代应用场景：最后的坚守

虽然已被SSH取代，但Telnet仍在特定场景使用：

1. 设备诊断

# 检测远程端口开放
telnet mail.server.com 25# 测试SMTP服务

2. 协议调试

# 手动调试HTTP协议
telnet www.example.com 80
GET / HTTP/1.1
Host: www.example.com

3. 工业控制系统
   老式PLC、SCADA系统维护接口

---

七、安全替代方案：SSH协议

核心改进：

1. 加密传输：AES加密所有数据
2. 身份验证：密钥对代替密码
3. 完整性保护：HMAC防篡改

# SSH等效连接
ssh rviews@route-server.ip.att.net
# 不需要密码，使用密钥认证

---

总结：Telnet的历史启示

1. 简单即美：基于TCP的简洁设计
2. 兼容至上：NVT解决终端差异问题
3. 安全教训：推动加密协议发展
4. 历史价值：理解现代协议的基础

动手实验：

1. 用Wireshark捕获实验室路由器的Telnet会话
2. 编写Python脚本模拟Telnet登录过程
3. 对比Telnet与SSH的流量差异

Telnet教会我们：在网络协议设计中，安全性不是可选项而是必选项。当我们今天享受SSH的安全保护时，应该感谢Telnet这个铺路者。