高大上的“网络监听”，其实你也能做！

Posted 2020-07-09

出来工作一年了，回忆大学那时，我所在专业里有一位大神级人物，他每天都和我们聊一下很“美丽”的事物。他最经常喜欢所得一句话，“一切事物都可以用01表示出来”。那时的他，很喜欢分享，很喜欢去研究一些高大上的问题，数学是他的强项。那时，我们桂林高校的五子棋大赛，他拿了冠军，证明了自己，并不是一个只会说不会做的人。其实我对他还是很有好感的，不过由于各种原因吧，我们交往并不算太深。还记得的那些夜晚，学习和生活上遇到很多困惑，经常很他一起聊到11点半，讨论各种奇怪的事情。从那开始，我就渐渐地更喜欢写程序啦.......

《计算机网络》我们的必修课。

    常说，网络很安全，作为IT童鞋，你又是怎么样的看法呢？其实我们只能警惕；网络的开放、自由、共享，使得我们对网络有着独特的喜爱。网络的初学者，分享个人的学习过程......
    学过计算机网络都知道，网络的七层协议，而我们程序员，一般只涉及到传输层以上，没有深入学习网络层，而对于网络层的两大协议：ARP地址解析协议、ICMP报文控制协议。

    在 ARP 中进行的处理是对应于以太网的物理地址（MAC 地址）和 IP 地址。把 IP 数据报传送到其他计算机时，要从对方的 IP地址中查询对方的物理地址，使用对方的物理地址建立新的以太网帧。在使用 IP 进行通信时，就必须知道 IP 地址和对应的 MAC 地址。先进行以太网的广播功能，将要查询的 MAC 地址的网络设备的 IP 地址通知给其他网络设备。得到消息的网络设备进行匹配，符合则将自己的 MAC 地址返回过去。下面是IP数据包结构：

     

        网络监听是指利用计算机的网络接口截获目的地为第三方计算机的数据报文的一种技术。利用这种技术可以监听网络的当前流量状况；网络程序的运行以及非法窃取网络中传输的机密信息。 
        ARP重定向的实施办法是根据以上ARP地址解析协议的安全漏洞，进行网络信息包的截获以及包的转发攻击活动，

        步骤如下：

             （1）把实施攻击的主机的网卡设置为混杂模式。

             （2）在实施攻击的主机上保持一个局域网内各个IP／MkC包的对应列表，并根据截获的IP包或者ARP包的原IP域进行更新。

             （3）收到一个IP包之后，分析包头，根据IP包头里的IP目的地址，找到相应的MAC地址。

             （4）将本机的MAC地址设成原MAC地址，将第二步查到的MAC地址作为目的MAC地址，将收到的IP包发送出去。通过以上的重定向，攻击者使网络数据包在经过攻击者本身的主机后，转发到数据包应该真正到达的目的主机去，从而具有很强的欺骗性。

本机为例
下面是网络监控捕获到数据：
IP报头分析

MAC分析：

对www.glut.edu.cn（202.193.80.58） 密码信息传递监控：
下面是监控到的有效登录数据：

如果传输过程未进过加密，信息就会像上述一样。 

 

大学时，学习的经历，再次回忆感觉有些陌生了.............