jpcap mitm

이 애플리케이션은 LAN 공격 및 데이터 스니핑 문제를 해결합니다. LAN의 모든 대상 터미널에 대해 지점 간 공격을 수행하여 대상 터미널의 업스트림 및 다운스트림 인터넷 데이터를 스니핑할 수 있습니다. 네트워크 데이터의 다중 소스 이질성과 실시간 특성을 목표로 하는 대상 탐지 및 모니터링 엔진은 MongoDB의 자연스러운 NoSQL 특성과 결합하여 설계되었습니다.

 1. Server: The core technology used in the backend is SpringBoot. The core technologies used for network attacks include winpcap, jpcap, ARP Spoofing (ARP deception), MITM (Man-in-the-Middle Attack), and network packet grouping/degrouping, decompression, and restoration.
2. Client: The core technologies used in the frontend include Angular6, ECharts, etc.
3. Packaging and Deployment: The front-end and back-end are packaged into the same jar file using Maven.

1. Java(64비트 선택 안 함): Java 다운로드
2. MongoDB(3.4.24를 선택해야 함): MongoDB 다운로드
3. WinPcap 최신: WinPcap 다운로드
4. Wireshark: Wireshark 다운로드
5. 메이븐, NodeJS

1. IP 전달 활성화: sudo sysctl -w net.inet.ip.forwarding=1 . IP 전달이 활성화되어 있는지 확인하십시오(1이어야 함): sudo sysctl -a | grep net.inet.ip.forwarding . 시스템을 다시 시작한 후 IP 전달은 기본 꺼짐 상태로 되돌아가므로 다시 활성화해야 합니다. 그렇지 않으면 공격을 받는 대상은 정상적으로 인터넷에 접속할 수 없습니다.
2. 명령줄에서 MongoDB 서비스를 시작하려면 MongoDB 설치 디렉터리의 bin 디렉터리의 절대 경로를 환경 변수 경로에 추가하세요.
3. libjpcap.jnilib /Library/Java/Extensions/ 에 복사합니다.
4. 이 프로그램을 실행하는 서버와 대상 휴대폰이 Wi-Fi를 통해 동일한 라우터에 연결되어 있는지 확인하십시오.
5. 명령줄에서 코드의 루트 디렉터리로 이동하고 Maven: mvn package -Dmaven.test.skip=true 사용하여 컴파일 및 패키징하고 jpcap-mitm.jar 작업 디렉터리로 임의의 디렉터리에 복사한 다음 data/db 를 만듭니다. MongoDB 데이터 폴더로 이 작업 디렉터리에 폴더를 추가합니다.
6. 다운로드한 Wireshark dmg 패키지를 열면 Install ChmodBPF.pkg 패키지가 표시됩니다. 이 소프트웨어 패키지를 설치하려면 두 번 클릭하세요.

1. 터미널을 열고 지정된 작업 디렉터리로 이동한 후 mongod --dbpath=data/db 실행하세요. 몇 초 후에 MongoDB 서비스가 성공적으로 실행될 때까지 기다렸다가 다음과 유사한 로그를 인쇄합니다. *** 포트 27017에서 연결을 기다리는 중입니다.
2. 왼쪽 하단의 Windows 시작 버튼을 클릭하고 cmd 입력한 다음 마우스 오른쪽 버튼을 클릭하여 관리자 권한으로 명령줄을 실행합니다. 명령줄에서 D:mitm 으로 이동한 다음 java -jar jpcap-mitm.jar 실행합니다. 서비스가 성공적으로 실행될 때까지 기다렸다가 다음과 유사한 로그를 인쇄합니다. *** Started Application in ** 초.
3. Chrome 브라우저를 열고 http://localhost:8888 로 이동하거나 http://<local IP>:8888 통해 다른 장치에서 원격으로 프로그램에 액세스하세요.
4. 이 프로그램의 관리 사이트를 성공적으로 연 후 Select interface 에서 올바른 네트워크 카드를 선택하고 로컬 IP 및 MAC, 대상 모바일 IP 및 MAC, 게이트웨이(라우터) IP 및 MAC를 설정합니다. 이는 모두 내부 네트워크 IP이며 동일한 서브넷에 있어야 합니다.
5. 대상 휴대폰의 IP와 MAC은 휴대폰의 Wi-Fi 연결 정보에서 확인할 수 있습니다. 로컬 IP와 MAC 또는 라우터의 IP와 MAC을 모르는 경우 터미널에 ifconfig 입력하여 IPv4 주소, 물리적 주소 및 기본 게이트웨이를 찾으십시오. arp -a 실행하여 게이트웨이의 MAC를 찾으세요.
6. 위의 정보를 설정한 후 설정 버튼을 클릭하면 애플리케이션이 해당 연결을 설정합니다. 프로그램이 시작될 때마다 연결을 재설정할 수 있지만, 한 번 설정하면 수정할 수 없습니다. 재설정하려면 control+c 눌러 명령줄 창에서 jpcap-mitm.jar 프로세스를 닫은 다음 프로그램을 다시 시작하세요.
7. 공격을 시작하기 전에 대상 휴대폰을 사용하여 웹사이트나 앱에 접속해 보세요. 공격을 시작하지 않고 전화기가 정상적으로 인터넷에 액세스할 수 있는지 확인하십시오.
8. 공격 시작을 클릭한 후 공격이 적용되고 동적 막대가 표시될 때까지 몇 초 동안 기다리십시오. 아래 실시간 통계 패널에서 데이터를 확인하고, 대상 휴대폰을 이용해 웹사이트나 앱에 접속해 데이터 패널 업데이트를 확인하세요.
9. 웹사이트 또는 앱 기능을 완료한 후 공격 중지를 클릭하세요. 공격은 즉시 중단되지만 서버가 순차적으로 저장해야 할 대량의 패킷을 캡처했기 때문에 실시간 통계 패널 데이터가 중단되기 몇 분 동안 계속해서 천천히 증가할 수 있습니다.
10. 공격을 중지한 후 패킷 분석이 완료되었다는 메시지가 나올 때까지 몇 초간 기다립니다. 그런 다음 분석, 통계 및 덤프 페이지에서 이 공격의 배치 ID(최신 ID)를 선택하여 자세한 내용과 차트를 볼 수 있습니다.

1. 웹 오류 메시지가 나타나면 명령줄 jar 패키지가 비정상적으로 종료되었는지 확인하세요. 프로그램이 충돌했을 수 있습니다. 항아리를 다시 시작해 보세요. 프로그램의 명령줄 로그를 주의 깊게 살펴보세요. 오류가 계속 발생하면 프로그램이 패킷을 정상적으로 스니핑하지 못할 수 있습니다. 항아리를 다시 시작해 보세요.
2. 라우터에 고정 IP/MAC 바인딩이 활성화되어 있거나 DHCP가 비활성화되어 있거나 ARP 공격 방어 모듈이 있는 경우 프로그램이 다운스트림 패킷이 아닌 업스트림 패킷만 차단하게 될 수 있습니다. 라우터 설정을 구성할 수 없는 경우 다른 장비로 전환한 후 다시 공격하세요. 게이트웨이 장치가 매우 강력하다면 공격이 완전히 성공하지 못할 수도 있습니다.
3. 공격 시작 후, 대상이 정상적으로 인터넷에 접속할 수 있으나 프로그램 관리 페이지에서 스니핑된 패킷이 없거나, 대상이 인터넷에 접속할 수 없는 경우 시스템에 IP 포워딩이 활성화되어 있는지 확인하고 모든 IP와 MAC을 주의 깊게 확인하십시오. 웹에서 구성된 장치, 선택한 네트워크 카드 인터페이스가 올바른지 확인, 서버와 대상 휴대폰이 동일한 라우터에 연결되어 있는지 확인, 대상 휴대폰의 IP가 변경되었는지 확인(고정 IP일 수 있음), jar을 실행하는 명령줄 창이 실행됩니다. 관리자로서 컴퓨터를 다시 시작하고 몇 분 정도 기다린 후 다시 시도하십시오.
4. 공격은 너무 오래 지속되어서는 안 되며, 수십 초가 최적입니다. 테스트 후에는 공격을 중지하여 대상과 게이트웨이에 대한 지속적인 공격이 LAN에 데이터 폭풍을 일으키고 이로 인해 게이트웨이에 과부하가 걸리고 전체 LAN이 중단될 수 있습니다.

1. Java(64비트를 선택하지 않음): Java 다운로드
2. MongoDB(3.4.24를 선택해야 함): MongoDB 다운로드
3. WinPcap 최신: WinPcap 다운로드
4. 메이븐, NodeJS

1. IP 전달 활성화: 왼쪽 하단의 Windows 시작 버튼을 클릭하고 regedit 입력한 다음 레지스트리 편집기를 선택합니다. 관리자 권한으로 레지스트리 편집기를 실행하려면 마우스 오른쪽 버튼을 클릭하세요. 레지스트리 키 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters 로 이동하여 IPEnableRouter 항목을 선택하고 값을 1로 변경합니다.
2. 명령줄에서 MongoDB 서비스를 시작하려면 MongoDB 설치 디렉터리의 bin 디렉터리의 절대 경로를 환경 변수 경로에 추가하세요.
3. 이 프로그램에 대한 작업 디렉터리를 만듭니다. 예를 들어 D:mitm 폴더를 작업 디렉터리로 만듭니다. 작업 디렉터리와 동일한 루트 디렉터리에 MongoDB 데이터 폴더 data/db 를 만듭니다. 예를 들어 루트 디렉터리가 D 인 경우 D:datadb 폴더를 만듭니다.
4. 이 프로그램을 실행하는 서버와 대상 휴대폰이 Wi-Fi를 통해 동일한 라우터에 연결되어 있는지 확인하십시오.
5. 명령줄에서 코드의 루트 디렉터리로 이동하고, Maven: mvn package -Dmaven.test.skip=true 사용하여 컴파일 및 패키징하고, jpcap-mitm.jar 및 Jpcap.dll 작업 디렉터리에 복사하고, data/db 이 작업 디렉터리의 data/db 폴더를 MongoDB 데이터 폴더로 지정합니다.

1. 왼쪽 하단의 Windows 시작 버튼을 클릭하고 cmd 입력한 다음 마우스 오른쪽 버튼을 클릭하여 관리자 권한으로 명령줄을 실행합니다. D: 로 이동한 다음 mongod 실행합니다. 몇 초 후에 MongoDB 서비스가 성공적으로 실행될 때까지 기다렸다가 다음과 유사한 로그를 인쇄합니다. *** 포트 27017에서 연결을 기다리는 중입니다. 명령줄 창에서 콘텐츠를 선택하기 위해 마우스 왼쪽 버튼을 사용하지 마십시오. 선택한 상태로 인해 서비스가 일시 중단됩니다.
2. 왼쪽 하단의 Windows 시작 버튼을 클릭하고 cmd 입력한 다음 마우스 오른쪽 버튼을 클릭하여 관리자 권한으로 명령줄을 실행합니다. 명령줄에서 D:mitm 으로 이동한 다음 java -jar jpcap-mitm.jar 실행합니다. 서비스가 성공적으로 실행될 때까지 기다렸다가 다음과 유사한 로그를 인쇄합니다. *** Started Application in ** 초.
3. Chrome 브라우저를 열고 http://localhost:8888 로 이동하거나 http://<local IP>:8888 통해 다른 장치에서 원격으로 프로그램에 액세스하세요.
4. 이 프로그램의 관리 사이트를 성공적으로 연 후 Select interface 에서 올바른 네트워크 카드를 선택하고 로컬 IP 및 MAC, 대상 모바일 IP 및 MAC, 게이트웨이(라우터) IP 및 MAC를 설정합니다. 이는 모두 내부 네트워크 IP이며 동일한 서브넷에 있어야 합니다.
5. 대상 휴대폰의 IP와 MAC은 휴대폰의 Wi-Fi 연결 정보에서 확인할 수 있습니다. 로컬 IP와 MAC 또는 라우터의 IP와 MAC을 모르는 경우 왼쪽 하단의 Windows 시작 버튼을 클릭하고 cmd 입력한 다음 마우스 오른쪽 버튼을 클릭하여 관리자 권한으로 명령줄을 실행하세요. 무선 LAN 어댑터 Wi-Fi 섹션을 찾으려면 명령줄에 ipconfig /all 입력하고 IPv4 주소, 물리적 주소 및 기본 게이트웨이를 찾으세요. arp -a 실행하여 게이트웨이의 MAC를 찾으세요.
6. 위의 정보를 설정한 후 설정 버튼을 클릭하면 애플리케이션이 해당 연결을 설정합니다. 프로그램이 시작될 때마다 연결을 재설정할 수 있지만, 한 번 설정하면 수정할 수 없습니다. 재설정하려면 control+c 눌러 명령줄 창에서 jpcap-mitm.jar 프로세스를 닫은 다음 프로그램을 다시 시작하세요.
7. 공격을 시작하기 전에 대상 휴대폰을 사용하여 웹사이트나 앱에 접속해 보세요. 공격을 시작하지 않고 전화기가 정상적으로 인터넷에 액세스할 수 있는지 확인하십시오.
8. 공격 시작을 클릭한 후 공격이 적용되고 동적 막대가 표시될 때까지 몇 초 동안 기다리십시오. 아래 실시간 통계 패널에서 데이터를 확인하고, 대상 휴대폰을 이용해 웹사이트나 앱에 접속해 데이터 패널 업데이트를 확인하세요.
9. 웹사이트 또는 앱 기능을 완료한 후 공격 중지를 클릭하세요. 공격은 즉시 중단되지만 서버가 순차적으로 저장해야 할 대량의 패킷을 캡처했기 때문에 실시간 통계 패널 데이터가 중단되기 몇 분 동안 계속해서 천천히 증가할 수 있습니다.
10. 공격을 중지한 후 패킷 분석이 완료되었다는 메시지가 나올 때까지 몇 초간 기다립니다. 그런 다음 분석, 통계 및 덤프 페이지에서 이 공격의 배치 ID(최신 ID)를 선택하여 자세한 내용과 차트를 볼 수 있습니다.

1. 웹 오류 메시지가 나타나면 명령줄 jar 패키지가 비정상적으로 종료되었는지 확인하세요. 프로그램이 충돌했을 수 있습니다. 항아리를 다시 시작해 보세요. 프로그램의 명령줄 로그를 주의 깊게 살펴보세요. 오류가 계속 발생하면 프로그램이 패킷을 정상적으로 스니핑하지 못할 수 있습니다. 항아리를 다시 시작해 보세요.
2. 라우터에 고정 IP/MAC 바인딩이 활성화되어 있거나 DHCP가 비활성화되어 있거나 ARP 공격 방어 모듈이 있는 경우 프로그램이 다운스트림 패킷이 아닌 업스트림 패킷만 차단하게 될 수 있습니다. 라우터 설정을 구성할 수 없는 경우 다른 장비로 전환한 후 다시 공격하세요. 게이트웨이 장치가 매우 강력하다면 공격이 완전히 성공하지 못할 수도 있습니다.
3. 공격 시작 후, 대상이 정상적으로 인터넷에 접속할 수 있으나 프로그램 관리 페이지에서 스니핑된 패킷이 없거나, 대상이 인터넷에 접속할 수 없는 경우 시스템에 IP 포워딩이 활성화되어 있는지 확인하고 모든 IP와 MAC을 주의 깊게 확인하십시오. 웹에서 구성된 장치, 선택한 네트워크 카드 인터페이스가 올바른지 확인, 서버와 대상 휴대폰이 동일한 라우터에 연결되어 있는지 확인, 대상 휴대폰의 IP가 변경되었는지 확인(고정 IP일 수 있음), jar을 실행하는 명령줄 창이 실행됩니다. 관리자로서 컴퓨터를 다시 시작하고 몇 분 정도 기다린 후 다시 시도하십시오.
4. 네트워크 카드 인터페이스 목록의 이름으로 선택할 항목을 결정할 수 없는 경우 레지스트리 편집기를 열고 레지스트리 키 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces{*} 확인하세요. 이 목록은 인터페이스 목록에 해당합니다. 각 인터페이스 항목을 차례로 확인하고 어떤 구성이 현재 서버 IP와 일치하는지 확인하여 선택해야 하는 인터페이스를 나타냅니다.
5. 공격은 너무 오래 지속되어서는 안 되며, 수십 초가 최적입니다. 테스트 후에는 공격을 중지하여 대상과 게이트웨이에 대한 지속적인 공격이 LAN에 데이터 폭풍을 일으키고 이로 인해 게이트웨이에 과부하가 걸리고 전체 LAN이 중단될 수 있습니다.

이 프로젝트의 프론트 엔드 인터페이스는 다음과 같습니다

1. LAN 공격 페이지

   1. 이 인터페이스에서는 네트워크 카드와 로컬 머신/타겟/게이트웨이의 IP 및 MAC를 설정하고, 모니터링되는 도메인 목록(하나의 도메인 또는 쉼표로 구분된 여러 도메인)을 설정한 다음 공격의 시작 또는 중지를 제어합니다.
   2. 첫 번째 단계는 필요한 설정을 지정하는 것입니다. 이 설정은 매번 프로그램을 새로 시작한 후에만 수행할 수 있습니다. 정보는 데이터베이스에 저장되며 프로그램은 다음에 시작할 때 자동으로 이 정보를 읽습니다. 프로그램이 처음 시작되면 자동으로 로컬 IP와 MAC를 읽습니다. 이것이 맞는지 주의 깊게 확인해야 합니다. 네트워크 카드는 일반적인 인터넷 접속에 사용되는 네트워크 카드 장치를 선택해야 합니다. 대상은 모니터링해야 하는 휴대폰이나 기타 장치를 의미합니다. 게이트웨이는 일반적으로 Wi-Fi를 통해 연결되는 라우터 또는 기타 게이트웨이 장치를 나타냅니다. 위의 모든 정보는 엄격하게 올바르게 구성되어야 하며, 그렇지 않으면 프로그램이 정상적으로 실행될 수 없습니다. 설정 인터페이스는 아래 그림과 같습니다:
   3. 게이트웨이 IP 및 MAC는 아래 그림과 같이 게이트웨이 장치에서 보거나 로컬 라우팅 테이블에서도 볼 수 있습니다.
   4. 구성을 완료하고 공격을 저장하거나 시작하면 모니터링할 도메인 이름 주소 목록이 DNS에 의해 확인되고 해당 IP 목록이 MongoDB로 업데이트된 후 공식적으로 LAN 공격 및 데이터 스니핑이 시작됩니다. 인터페이스에는 아래 그림과 같이 공격 상태가 표시됩니다.
   5. 이때 페이지를 하단으로 드래그하시면 패킷 스니핑 통계를 보실 수 있습니다. 통계 부분은 주로 업스트림과 다운스트림의 두 가지 유형으로 나뉘며, 이는 다시 TCP/UDP/ICMP/ARP 네 가지 유형으로 나뉩니다. 업스트림은 대상에서 보낸 패킷을 의미하고 다운스트림은 대상에서 수신한 패킷을 의미합니다. 이때 대상이 지정된 도메인 목록을 검색하지 않는 경우 모든 통계는 항상 0이 됩니다. 지정된 도메인 목록을 검색하기 시작하면 아래 그림과 같이 통계에 데이터가 포함되기 시작하는 것을 볼 수 있습니다.
   6. 공격을 중지하면 이 공격의 패킷에 대한 자세한 분석이 자동으로 시작됩니다. 공격이 완료되면 아래 그림과 같은 팝업 프롬프트도 표시됩니다.

2. 패킷 분석 페이지

   1. 이 인터페이스에서는 먼저 패킷 분석 프로세스가 진행 중인지 표시합니다. 아직 분석 중인 경우 결과를 보기 전에 분석이 완료될 때까지 기다려야 합니다. 분석이 완료되면 상태가 자동으로 완료로 전환되며, 분석 결과를 확인할 수 있습니다.
   2. 먼저 패킷 필터(공격 배치 ID/업스트림 또는 다운스트림/프로토콜/콘텐츠)를 선택할 수 있습니다. 각 필터 항목은 다중 선택되거나 공백으로 남겨질 수 있습니다. 이는 모든 유형이 일치함을 의미합니다. 필터를 클릭하면 아래 첫 번째 표에 분석 후 일치하는 모든 패킷이 표시됩니다. 여기의 패킷은 공격 인터페이스의 패킷과 다릅니다. 여기의 패킷은 모두 결합된 패킷인 반면, 공격 인터페이스의 패킷은 원본 프레임입니다. 따라서 여기의 패킷 수는 이전보다 훨씬 적습니다. 첫 번째 표에서는 아래 그림과 같이 분석 후 일부 필드(예: HTTP 헤더/HTTP 본문/METHOD 등)를 포함하여 패킷의 모든 중요한 필드를 볼 수 있습니다.
   3. 첫 번째 테이블의 행을 클릭한 후 아래 두 번째 테이블을 확인하여 어떤 원본 데이터 프레임이 이 패킷에 해당하는지 확인하세요. 아래 그림과 같이 여기서 이러한 패킷의 일부 기본 프레임 필드를 볼 수 있습니다.

3. 패킷 통계 페이지

   1. 마찬가지로 이 인터페이스에서는 먼저 패킷 분석 프로세스가 진행 중인지 여부를 표시합니다. 아직 분석 중인 경우 결과를 보기 전에 분석이 완료될 때까지 기다려야 합니다. 분석이 완료되면 상태가 자동으로 완료로 전환되며, 분석 결과를 확인할 수 있습니다.
   2. 먼저, 공격 배치를 기준으로 필터링할 수 있습니다. 이는 다중 선택되거나 공백으로 남겨질 수 있습니다. 이는 아래 그림과 같이 모든 공격 배치가 일치함을 의미합니다.
   3. 필터를 클릭하면 먼저 다양한 세부 프로토콜 유형의 패킷 통계를 볼 수 있습니다. 주로 업스트림과 다운스트림의 두 가지 범주로 나뉘며 각 범주는 HTTP/HTTPS/TCP/UDP/ICMP/ARP 프로토콜 유형으로 더 나뉩니다. 여기서 TCP는 HTTP와 HTTPS를 제외한 다른 TCP 프로토콜 유형을 의미하는 반면, HTTP와 HTTPS는 특별히 일반적으로 분석되어 별도로 계산됩니다. 통계 인터페이스는 아래 그림과 같습니다.
   4. 계속해서 아래를 내려다보면 아래 그림과 같이 업스트림과 다운스트림이라는 두 가지 범주로 구분된 각 프로토콜 유형의 원형 차트도 볼 수 있습니다.
   5. 마찬가지로, 업스트림과 다운스트림이라는 두 가지 범주로 구분된 각 콘텐츠 유형의 원형 차트도 볼 수 있습니다. 여기서 other HTTP/HTTPS를 제외한 다른 TCP 패킷과 분석할 수 없는 다른 프로토콜의 패킷을 나타냅니다. 이러한 패킷의 실제 내용은 분석할 수 없으므로 아래 그림과 같이 일률적으로 other 로 분류됩니다.
   6. 또한 타임라인에 따라 다양한 패킷 콘텐츠의 분포를 볼 수도 있습니다. 하단의 다선 그래프는 다양한 패킷 내용의 추세 변화를 보여주고, 상단의 파이 차트는 마우스와 상호 작용합니다. 다선 그래프의 x축에 마우스를 올리면 아래 그림과 같이 파이 차트의 x축에 현재 시간의 다양한 패킷 내용에 대한 통계 및 비율이 실시간으로 표시됩니다.
   7. 마찬가지로 타임라인 차트도 아래 그림과 같이 업스트림과 다운스트림으로 구분되어 다운스트림 데이터를 보여줍니다.

4. 패킷 창고 페이지

   1. 이 페이지에서는 공격 ID/공격 시간/업스트림 데이터 프레임 수/다운스트림 데이터 프레임 수 등 각 공격의 기본 데이터를 볼 수 있습니다. 또한 각 공격 프로세스에 대해 작업을 수행하거나 재분석하거나 모두 삭제할 수도 있습니다. 아래 그림과 같이 관련 패킷 및 분석 결과:

• 프랭키 팬([email protected])