jpcap mitm

このアプリケーションは、LAN 攻撃とデータ盗聴の問題を解決します。 LAN 内の任意のターゲット端末に対してポイントツーポイント攻撃を実行し、ターゲット端末の上流および下流のインターネット データを傍受することができます。ネットワーク データのマルチソースの異質性とリアルタイム性を目指して、ターゲットを絞った検出および監視エンジンが MongoDB の自然な NoSQL 特性と組み合わせて設計されています。

 1. Server: The core technology used in the backend is SpringBoot. The core technologies used for network attacks include winpcap, jpcap, ARP Spoofing (ARP deception), MITM (Man-in-the-Middle Attack), and network packet grouping/degrouping, decompression, and restoration.
2. Client: The core technologies used in the frontend include Angular6, ECharts, etc.
3. Packaging and Deployment: The front-end and back-end are packaged into the same jar file using Maven.

1. Java (64 ビットを選択しないでください): Java ダウンロード
2. MongoDB (3.4.24 を選択する必要があります): MongoDB ダウンロード
3. WinPcap 最新版: WinPcap ダウンロード
4. Wireshark: Wireshark ダウンロード
5. Maven、NodeJS

1. IP 転送を有効にします: sudo sysctl -w net.inet.ip.forwarding=1 。 IP 転送が有効かどうかを確認します (1 である必要があります): sudo sysctl -a | grep net.inet.ip.forwarding 。システムの再起動後、IP 転送はデフォルトのオフ状態に戻るため、再度有効にする必要があります。そうしないと、攻撃対象はインターネットに正常にアクセスできなくなります。
2. コマンドラインから MongoDB サービスを開始するには、MongoDB インストール ディレクトリ内の bin ディレクトリの絶対パスを環境変数パスに追加します。
3. libjpcap.jnilib /Library/Java/Extensions/にコピーします。
4. このプログラムを実行しているサーバーと対象の携帯電話が Wi-Fi 経由で同じルーターに接続されていることを確認してください。
5. コマンドラインでコードのルートディレクトリに移動し、Maven を使用してコンパイルおよびパッケージ化します: mvn package -Dmaven.test.skip=true 、 jpcap-mitm.jar作業ディレクトリとして任意のディレクトリにコピーし、 data/dbを作成します。この作業ディレクトリ内のフォルダーを MongoDB データ フォルダーとして保存します。
6. ダウンロードした Wireshark dmg パッケージを開くと、 Install ChmodBPF.pkgパッケージが表示されるので、ダブルクリックしてこのソフトウェア パッケージをインストールします。

1. ターミナルを開き、指定された作業ディレクトリに移動して、 mongod --dbpath=data/dbを実行します。数秒後、MongoDB サービスが正常に実行されるまで待ち、次のようなログが出力されます: *** ポート 27017 での接続を待機しています。
2. 左下の Windows スタート ボタンをクリックし、 cmdと入力し、右クリックして管理者としてコマンド ラインを実行します。コマンドラインでD:mitmに移動し、 java -jar jpcap-mitm.jarを実行します。サービスが正常に実行されるまで待ち、次のようなログを出力します: *** Started Application in ** 秒。
3. Chrome ブラウザを開いてhttp://localhost:8888に移動するか、別のデバイスからhttp://<local IP>:8888経由でプログラムにリモート アクセスします。
4. このプログラムの管理サイトを正常に開いたら、 Select interfaceで正しいネットワーク カードを選択し、ローカル IP と MAC、ターゲット モバイル IP と MAC、ゲートウェイ (ルーター) の IP と MAC を設定します。これらはすべて内部ネットワーク IP であり、同じサブネット上にある必要があることに注意してください。
5. 対象の携帯電話の IP と MAC は、携帯電話の Wi-Fi 接続情報で確認できます。ローカル IP と MAC、またはルータの IP と MAC がわからない場合は、ターミナルでifconfigと入力して、IPv4 アドレス、物理アドレス、およびデフォルト ゲートウェイを見つけます。 arp -a実行して、ゲートウェイの MAC を見つけます。
6. 上記の情報を設定した後、設定ボタンをクリックすると、アプリケーションは対応する接続​​を確立します。プログラムを起動するたびに接続をリセットできますが、一度設定すると変更することはできません。リセットするには、コマンドラインウィンドウでcontrol+cを押してjpcap-mitm.jarプロセスを閉じ、プログラムを再起動します。
7. 攻撃を開始する前に、ターゲットの携帯電話を使用して Web サイトまたはアプリにアクセスしてみてください。電話機が攻撃を開始せずにインターネットに正常にアクセスできることを確認します。
8. [攻撃の開始] をクリックした後、攻撃が有効になり、ダイナミック バーが表示されるまで数秒待ちます。以下のリアルタイム統計パネルでデータを確認し、対象の携帯電話を使用して Web サイトまたはアプリにアクセスし、データ パネルの更新を確認します。
9. Web サイトまたはアプリの機能が完了したら、「攻撃を停止」をクリックします。攻撃はすぐに停止しますが、サーバーは順次保存する必要がある大量のパケットをキャプチャしたため、リアルタイム統計パネルのデータは停止するまでの数分間ゆっくりと増加し続ける可能性があります。
10. 攻撃を停止した後、パケット分析が完了したというメッセージが表示されるまで数秒待ちます。その後、分析、統計、およびダンプ ページでこの攻撃のバッチ ID (最新の ID) を選択して、詳細な内容とグラフを表示できます。

1. Web エラー プロンプトが表示された場合は、コマンド ライン jar パッケージが異常終了したかどうかを確認してください。プログラムがクラッシュした可能性があります。 jar を再起動してみてください。プログラムのコマンド ライン ログに注意してください。エラーが連続してスローされる場合、プログラムはパケットを正常にスニッフィングできない可能性があります。 jar を再起動してみてください。
2. ルーターで静的 IP/MAC バインディングが有効になっているか、DHCP が無効になっているか、または ARP 攻撃防御モジュールが設定されている場合、プログラムはアップストリーム パケットのみをインターセプトし、ダウンストリーム パケットはインターセプトしない可能性があります。ルーターの設定ができない場合は、別の機器に切り替えて再度攻撃してください。ゲートウェイ デバイスが非常に強力な場合、攻撃は完全には成功しない可能性があります。
3. 攻撃を開始した後、ターゲットがインターネットに正常にアクセスできるにもかかわらず、プログラムの管理ページでパケットがスニッフィングされない場合、またはターゲットがインターネットにアクセスできない場合は、システムで IP 転送が有効になっているかどうかを確認し、すべての IP と MAC を注意深く確認します。 Web で設定されているデバイス、選択したネットワーク カード インターフェイスが正しいかどうかを確認する、サーバーとターゲットの携帯電話が同じルーターに接続されているかどうかを確認する、対象の携帯電話の IP が変更されているかどうかを確認する (固定 IP の可能性がある)、を実行しているコマンド ライン ウィンドウjar が管理者として実行されている場合は、コンピューターを再起動し、数分間待ってから再試行してください。
4. 攻撃はあまり長く続かず、数十秒が最適です。テスト後、攻撃を停止して、ターゲットとゲートウェイに対する継続的な攻撃が LAN 内でデータ ストームを引き起こし、ゲートウェイに過負荷がかかり、LAN 全体がクラッシュする可能性を防ぎます。

1. Java (64 ビットを選択しないでください): Java ダウンロード
2. MongoDB (3.4.24 を選択する必要があります): MongoDB ダウンロード
3. WinPcap 最新版: WinPcap ダウンロード
4. Maven、NodeJS

1. IP 転送を有効にする: 左下の Windows スタート ボタンをクリックし、 regeditと入力して、レジストリ エディタを選択します。右クリックして、管理者としてレジストリ エディタを実行します。レジストリ キーHKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parametersに移動し、 IPEnableRouter項目を選択して値を 1 に変更します。
2. コマンドラインから MongoDB サービスを開始するには、MongoDB インストール ディレクトリ内の bin ディレクトリの絶対パスを環境変数パスに追加します。
3. このプログラムの作業ディレクトリを作成します。たとえば、作業ディレクトリとしてフォルダーD:mitmを作成します。作業ディレクトリと同じルート ディレクトリに、MongoDB データ フォルダーdata/dbを作成します。たとえば、ルート ディレクトリがDの場合、フォルダーD:datadbを作成します。
4. このプログラムを実行しているサーバーと対象の携帯電話が Wi-Fi 経由で同じルーターに接続されていることを確認してください。
5. コマンドラインでコードのルートディレクトリに移動し、Maven を使用してコンパイルしてパッケージ化します: mvn package -Dmaven.test.skip=true 、 jpcap-mitm.jarとJpcap.dllを作業ディレクトリにコピーし、 data/dbこの作業ディレクトリ内のdata/dbフォルダーを MongoDB データ フォルダーとして使用します。

1. 左下の Windows スタート ボタンをクリックし、 cmdと入力し、右クリックして管理者としてコマンド ラインを実行します。 D:に移動し、 mongodを実行します。数秒後、MongoDB サービスが正常に実行されるまで待機し、次のようなログを出力します。*** ポート 27017 での接続を待機しています。コマンド ライン ウィンドウのコンテンツを選択するのにマウスの左ボタンを使用しないでください。選択した状態により、サービスが一時停止されます。
2. 左下の Windows スタート ボタンをクリックし、 cmdと入力し、右クリックして管理者としてコマンド ラインを実行します。コマンドラインでD:mitmに移動し、 java -jar jpcap-mitm.jarを実行します。サービスが正常に実行されるまで待ち、次のようなログを出力します: *** Started Application in ** 秒。
3. Chrome ブラウザを開いてhttp://localhost:8888に移動するか、別のデバイスからhttp://<local IP>:8888経由でプログラムにリモート アクセスします。
4. このプログラムの管理サイトを正常に開いたら、 Select interfaceで正しいネットワーク カードを選択し、ローカル IP と MAC、ターゲット モバイル IP と MAC、ゲートウェイ (ルーター) の IP と MAC を設定します。これらはすべて内部ネットワーク IP であり、同じサブネット上にある必要があることに注意してください。
5. 対象の携帯電話の IP と MAC は、携帯電話の Wi-Fi 接続情報で確認できます。ローカルの IP と MAC、またはルーターの IP と MAC がわからない場合は、左下の Windows スタート ボタンをクリックし、 cmdと入力して、右クリックして管理者としてコマンド ラインを実行します。コマンド ラインにipconfig /allと入力して、ワイヤレス LAN アダプタの Wi-Fi セクションを見つけ、IPv4 アドレス、物理アドレス、およびデフォルト ゲートウェイを見つけます。 arp -a実行して、ゲートウェイの MAC を見つけます。
6. 上記の情報を設定した後、設定ボタンをクリックすると、アプリケーションは対応する接続​​を確立します。プログラムを起動するたびに接続をリセットできますが、一度設定すると変更することはできません。リセットするには、コマンドラインウィンドウでcontrol+cを押してjpcap-mitm.jarプロセスを閉じ、プログラムを再起動します。
7. 攻撃を開始する前に、ターゲットの携帯電話を使用して Web サイトまたはアプリにアクセスしてみてください。電話機が攻撃を開始せずにインターネットに正常にアクセスできることを確認します。
8. [攻撃の開始] をクリックした後、攻撃が有効になり、ダイナミック バーが表示されるまで数秒待ちます。以下のリアルタイム統計パネルでデータを確認し、対象の携帯電話を使用して Web サイトまたはアプリにアクセスし、データ パネルの更新を確認します。
9. Web サイトまたはアプリの機能が完了したら、「攻撃を停止」をクリックします。攻撃はすぐに停止しますが、サーバーは順次保存する必要がある大量のパケットをキャプチャしたため、リアルタイム統計パネルのデータは停止するまでの数分間ゆっくりと増加し続ける可能性があります。
10. 攻撃を停止した後、パケット分析が完了したというメッセージが表示されるまで数秒待ちます。その後、分析、統計、およびダンプ ページでこの攻撃のバッチ ID (最新の ID) を選択して、詳細な内容とグラフを表示できます。

1. Web エラー プロンプトが表示された場合は、コマンド ライン jar パッケージが異常終了したかどうかを確認してください。プログラムがクラッシュした可能性があります。 jar を再起動してみてください。プログラムのコマンド ライン ログに注意してください。エラーが連続してスローされる場合、プログラムはパケットを正常にスニッフィングできない可能性があります。 jar を再起動してみてください。
2. ルーターで静的 IP/MAC バインディングが有効になっているか、DHCP が無効になっているか、または ARP 攻撃防御モジュールが設定されている場合、プログラムはアップストリーム パケットのみをインターセプトし、ダウンストリーム パケットはインターセプトしない可能性があります。ルーターの設定ができない場合は、別の機器に切り替えて再度攻撃してください。ゲートウェイ デバイスが非常に強力な場合、攻撃は完全には成功しない可能性があります。
3. 攻撃を開始した後、ターゲットがインターネットに正常にアクセスできるにもかかわらず、プログラムの管理ページでパケットがスニッフィングされない場合、またはターゲットがインターネットにアクセスできない場合は、システムで IP 転送が有効になっているかどうかを確認し、すべての IP と MAC を注意深く確認します。 Web で設定されているデバイス、選択したネットワーク カード インターフェイスが正しいかどうかを確認する、サーバーとターゲットの携帯電話が同じルーターに接続されているかどうかを確認する、対象の携帯電話の IP が変更されているかどうかを確認する (固定 IP の可能性がある)、を実行しているコマンド ライン ウィンドウjar が管理者として実行されている場合は、コンピューターを再起動し、数分間待ってから再試行してください。
4. ネットワーク カード インターフェイス リストの名前によってどれを選択するかを判断できない場合は、レジストリ エディターを開いて、レジストリ キーHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces{*}を確認します。このリストはインターフェースリストに相当します。各インターフェイス項目を順番に確認し、どの構成が現在のサーバー IP に一致するかを確認し、選択する必要があるインターフェイスを示します。
5. 攻撃はあまり長く続かず、数十秒が最適です。テスト後、攻撃を停止して、ターゲットとゲートウェイに対する継続的な攻撃が LAN 内でデータ ストームを引き起こし、ゲートウェイに過負荷がかかり、LAN 全体がクラッシュする可能性を防ぎます。

このプロジェクトのフロントエンドインターフェイスは次のとおりです

1. LAN攻撃ページ

   1. このインターフェイスでは、ネットワーク カードとローカル マシン/ターゲット/ゲートウェイの IP および MAC を設定し、監視対象ドメイン リスト (1 つのドメインまたはカンマで区切られた複数のドメイン) を設定して、攻撃の開始または停止を制御します。
   2. 最初のステップは、必要な設定を行うことです。これらの設定は、毎回プログラムを新たに起動した後にのみ行うことができます。情報はデータベースに保存され、プログラムは次回起動時に自動的にこの情報を読み取ります。プログラムを初めて起動すると、ローカル IP と MAC が自動的に読み取られます。これが正しいかどうかを慎重に確認する必要があります。ネットワーク カードは、通常のインターネット アクセスに使用されるネットワーク カード デバイスを選択する必要があります。ターゲットとは、監視する必要がある携帯電話またはその他のデバイスを指します。ゲートウェイとは通常、Wi-Fi 経由で接続されているルーターまたはその他のゲートウェイ デバイスを指します。上記の情報はすべて厳密に正しく構成されている必要があります。構成されていない場合、プログラムは正常に実行できません。設定インターフェイスを次の図に示します。
   3. ゲートウェイの IP と MAC は、ゲートウェイ デバイス上で確認できます。また、次の図に示すように、ローカル ルーティング テーブルからも確認できます。
   4. 設定を完了して保存または攻撃を開始すると、監視対象のドメイン名アドレス リストが DNS によって解決され、対応する IP リストが MongoDB に更新され、LAN 攻撃とデータ スニッフィングが正式に開始されます。次の図に示すように、インターフェイスには攻撃ステータスが表示されます。
   5. この時点で、ページを下部にドラッグすると、パケット スニッフィングの統計を表示できます。統計部分は主にアップストリームとダウンストリームの 2 種類に分けられ、さらに TCP/UDP/ICMP/ARP の 4 種類に分かれます。アップストリームはターゲットから送信されたパケットを意味し、ダウンストリームはターゲットが受信したパケットを意味します。この時点でターゲットが指定されたドメイン リストを参照していない場合、すべての統計は常に 0 になります。ターゲットが指定されたドメイン リストの参照を開始すると、次の図に示すように、統計にデータが含まれ始めることがわかります。
   6. 攻撃を停止すると、この攻撃に含まれるパケットの詳細な分析が自動的に開始されます。攻撃が完了すると、次の図に示すようなポップアップ プロンプトも表示されます。

2. パケット分析ページ

   1. このインターフェイスでは、最初にパケット分析プロセスが進行中かどうかが表示されます。まだ分​​析中の場合は、結果を表示する前に分析が完了するまで待つ必要があります。分析が完了すると、ステータスが自動的に完了に切り替わり、分析結果を確認できるようになります。
   2. まず、パケット フィルター (攻撃バッチ ID/アップストリームまたはダウンストリーム/プロトコル/コンテンツ) を選択できます。各フィルター項目は複数選択することも、空白のままにすることもできます。これは、すべてのタイプが一致することを意味します。 [フィルター] をクリックすると、分析後に一致したすべてのパケットが以下の最初の表に表示されます。ここでのパケットは、攻撃インターフェイスのパケットとは異なることに注意してください。ここでのパケットはすべて結合されたパケットですが、攻撃インターフェイス内のパケットは元のフレームです。したがって、ここでのパケット数は以前よりもはるかに少なくなります。最初の表では、以下の図に示すように、分析後のいくつかのフィールド (HTTP ヘッダー/HTTP 本体/メソッドなど) を含む、パケットのすべての重要なフィールドを確認できます。
   3. 最初のテーブルのいずれかの行をクリックした後、下の 2 番目のテーブルをチェックして、どの元のデータ フレームがこのパケットに対応しているかを確認します。以下の図に示すように、これらのパケットのいくつかの基本的なフレーム フィールドをここで確認できます。

3. パケット統計ページ

   1. 同様に、このインターフェイスでは、最初にパケット分析プロセスが進行中かどうかが表示されます。まだ分​​析中の場合は、結果を表示する前に分析が完了するまで待つ必要があります。分析が完了すると、ステータスが自動的に完了に切り替わり、分析結果を確認できるようになります。
   2. まず、攻撃バッチに基づいてフィルタリングできます。攻撃バッチは複数選択することも、空白のままにすることもできます。これは、次の図に示すように、すべての攻撃バッチが一致することを意味します。
   3. フィルターをクリックすると、まずさまざまな詳細なプロトコル タイプのパケット統計が表示されます。主にアップストリームとダウンストリームの 2 つのカテゴリに分類され、それぞれはさらに HTTP/HTTPS/TCP/UDP/ICMP/ARP プロトコル タイプに分類されます。ここでの TCP は、HTTP と HTTPS を除く他の TCP プロトコル タイプを指しますが、HTTP と HTTPS は特別かつ一般的に分析され、別々にカウントされることに注意してください。統計インターフェイスを次の図に示します。
   4. さらに下に目を向けると、次の図に示すように、アップストリームとダウンストリームの 2 つのカテゴリに分けられた各プロトコル タイプの円グラフも表示されます。
   5. 同様に、各コンテンツ タイプの円グラフを、アップストリームとダウンストリームの 2 つのカテゴリに分けて表示することもできます。ここで、「 other TCP パケットを指します。このようなパケットの実際の内容は分析できないため、次の図に示すように、一律にotherとして分類されます。
   6. タイムラインに基づいて、さまざまなパケット コンテンツの分布を確認することもできます。下部の複数折れ線グラフはさまざまなパケット コンテンツの傾向変化を示し、上部の円グラフはマウスと対話します。複数折れ線グラフの x 軸上でマウスを移動すると、次の図に示すように、円グラフには、現時点でのさまざまなパケット内容の統計と割合が x 軸にリアルタイムで表示されます。
   7. 同様に、次の図に示すように、タイムライン チャートも上流と下流に分割されており、下流のデータが示されています。

4. パケット ウェアハウス ページ

   1. このページでは、攻撃ID/攻撃時間/上流データフレーム数/下流データフレーム数などの各攻撃の基本データを確認できます。また、各攻撃プロセスの操作、再分析、またはすべて削除することもできます。次の図に示すように、関連するパケットと分析結果が表示されます。

• フランキー・ファン ([email protected])