jpcap mitm

该应用程序解决了 LAN 攻击和数据嗅探的问题。它可以对局域网内的任意目标终端进行点对点攻击，嗅探目标终端的上下行互联网数据。针对网络数据的多源异构性和实时性，结合MongoDB天然的NoSQL特性，设计了针对性的检测监控引擎。

 1. Server: The core technology used in the backend is SpringBoot. The core technologies used for network attacks include winpcap, jpcap, ARP Spoofing (ARP deception), MITM (Man-in-the-Middle Attack), and network packet grouping/degrouping, decompression, and restoration.
2. Client: The core technologies used in the frontend include Angular6, ECharts, etc.
3. Packaging and Deployment: The front-end and back-end are packaged into the same jar file using Maven.

1. Java（不要选择64位）：Java下载
2. MongoDB（必须选择3.4.24）：MongoDB下载
3. WinPcap最新：WinPcap下载
4. Wireshark：Wireshark 下载
5. Maven、NodeJS

1. 启用 IP 转发： sudo sysctl -w net.inet.ip.forwarding=1 。检查 IP 转发是否已启用（应为 1）： sudo sysctl -a | grep net.inet.ip.forwarding 。系统重启后，IP转发将恢复为默认关闭状态，因此必须重新启用；否则，被攻击的目标将无法正常访问互联网。
2. 将MongoDB安装目录下的bin目录的绝对路径添加到环境变量path中，即可通过命令行启动MongoDB服务。
3. 将libjpcap.jnilib复制到/Library/Java/Extensions/ 。
4. 确保运行该程序的服务器和目标手机通过Wi-Fi连接到同一路由器。
5. 命令行进入代码根目录，使用Maven编译打包： mvn package -Dmaven.test.skip=true ，将jpcap-mitm.jar复制到任意目录作为工作目录，并创建data/db该工作目录中的文件夹作为 MongoDB 数据文件夹。
6. 打开下载的Wireshark dmg包，会看到一个Install ChmodBPF.pkg包，双击安装该软件包。

1. 打开终端，导航到指定的工作目录，然后运行mongod --dbpath=data/db 。几秒钟后，等待 MongoDB 服务成功运行，并打印类似以下内容的日志：*** waiting for Connections on port 27017。
2. 单击左下角的 Windows 开始按钮，输入cmd ，然后右键单击以管理员身份运行命令行。在命令行中导航到D:mitm ，然后运行java -jar jpcap-mitm.jar 。等待服务成功运行并打印类似以下内容的日志：*** Started Application in ** Seconds。
3. 打开 Chrome 浏览器并导航到http://localhost:8888 ，或通过http://<local IP>:8888从另一台设备远程访问该程序。
4. 成功打开本程序的管理站点后，在Select interface选择正确的网卡，设置本地IP和MAC、目标手机IP和MAC、网关（路由器）IP和MAC。请注意，这些都是内部网络 IP，并且应该位于同一子网中。
5. 目标手机的IP和MAC可以在手机的Wi-Fi连接信息中查看。如果您不知道本地 IP 和 MAC 或路由器的 IP 和 MAC，请在终端中输入ifconfig以查找 IPv4 地址、物理地址和默认网关。运行arp -a查找网关的 MAC。
6. 设置完以上信息后，点击设置按钮，应用程序就会建立相应的连接。每次程序启动时，您可以重置连接，但一旦设置，就无法修改。要重置，请按control+c在命令行窗口中关闭jpcap-mitm.jar进程，然后重新启动程序。
7. 在开始攻击之前，请尝试使用目标手机访问网站或应用程序。确保手机可以正常上网，而不会受到攻击。
8. 点击开始攻击后，等待几秒攻击生效并显示动态条。查看下方实时统计面板的数据，并使用目标手机访问网站或应用程序查看数据面板更新。
9. 完成网站或应用程序功能后，单击“停止攻击”。攻击会立即停止，但服务器捕获了大量数据包需要顺序存储，因此实时统计面板数据可能会持续缓慢增加几分钟才停止。
10. 停止攻击后，等待几秒钟，看到数据包分析完成的消息。您可以在分析、统计、转储页面选择本次攻击的批次ID（最新ID），查看详细内容和图表。

1. 如果出现Web错误提示，请检查命令行jar包是否异常退出。该程序可能已崩溃。尝试重新启动罐子。注意程序的命令行日志。如果连续抛出错误，程序可能无法正常嗅探数据包。尝试重新启动罐子。
2. 如果路由器启用了静态IP/MAC绑定、禁用了DHCP或ARP防攻击模块，可能会导致程序只拦截上行报文，而不拦截下行报文。如果无法配置路由器设置，请切换到不同的设备并再次攻击。如果网关设备非常强大，攻击可能不会完全成功。
3. 开始攻击后，如果目标可以正常上网，但在程序管理页面没有嗅到数据包，或者目标无法上网，请检查系统是否启用了IP转发，仔细检查所有的IP和MAC网页中配置的设备，检查选择的网卡接口是否正确，检查服务器和目标手机是否连接在同一个路由器，检查目标手机的IP是否改变（可以是固定IP），检查是否运行 jar 的命令行窗口运行为管理员，请尝试重新启动计算机并等待几分钟，然后重试。
4. 攻击时间不宜过长，几十秒为最佳。测试完成后，停止攻击，防止对目标和网关的持续攻击导致局域网内出现数据风暴，导致网关过载，导致整个局域网崩溃。

1. Java（不要选择64位）：Java下载
2. MongoDB（必须选择3.4.24）：MongoDB下载
3. WinPcap最新：WinPcap下载
4. Maven、NodeJS

1. 启用 IP 转发：单击左下角的 Windows 开始按钮，键入regedit ，然后选择注册表编辑器。右键单击以管理员身份运行注册表编辑器。导航到注册表项HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters ，选择IPEnableRouter项并将值更改为 1。
2. 将MongoDB安装目录下的bin目录的绝对路径添加到环境变量path中，即可通过命令行启动MongoDB服务。
3. 为此程序创建一个工作目录。例如，创建文件夹D:mitm作为工作目录。在与工作目录相同的根目录中，创建 MongoDB 数据文件夹data/db 。例如，如果根目录为D ，则创建文件夹D:datadb 。
4. 确保运行该程序的服务器和目标手机通过Wi-Fi连接到同一路由器。
5. 命令行进入代码根目录，使用Maven编译打包： mvn package -Dmaven.test.skip=true ，将jpcap-mitm.jar和Jpcap.dll复制到工作目录，并创建data/db此工作目录中的data/db文件夹作为 MongoDB 数据文件夹。

1. 单击左下角的 Windows 开始按钮，输入cmd ，然后右键单击以管理员身份运行命令行。导航到D: ，然后运行mongod 。几秒后，等待MongoDB服务成功运行，并打印类似如下的日志：*** waiting for Connections on port 27017。请勿使用鼠标左键在命令行窗口中选择任何内容。所选状态将导致服务暂停。
2. 单击左下角的 Windows 开始按钮，输入cmd ，然后右键单击以管理员身份运行命令行。在命令行中导航到D:mitm ，然后运行java -jar jpcap-mitm.jar 。等待服务成功运行并打印类似以下内容的日志：*** Started Application in ** Seconds。
3. 打开 Chrome 浏览器并导航到http://localhost:8888 ，或通过http://<local IP>:8888从另一台设备远程访问该程序。
4. 成功打开本程序的管理站点后，在Select interface选择正确的网卡，设置本地IP和MAC、目标手机IP和MAC、网关（路由器）IP和MAC。请注意，这些都是内部网络 IP，并且应该位于同一子网中。
5. 目标手机的IP和MAC可以在手机的Wi-Fi连接信息中查看。如果您不知道本地 IP 和 MAC 或路由器的 IP 和 MAC，请单击左下角的 Windows 开始按钮，输入cmd ，然后右键单击以管理员身份运行命令行。在命令行中输入ipconfig /all找到无线网卡 Wi-Fi 部分，找到 IPv4 地址、物理地址和默认网关。运行arp -a查找网关的 MAC。
6. 设置完以上信息后，点击设置按钮，应用程序就会建立相应的连接。每次程序启动时，您可以重置连接，但一旦设置，就无法修改。要重置，请按control+c在命令行窗口中关闭jpcap-mitm.jar进程，然后重新启动程序。
7. 在开始攻击之前，请尝试使用目标手机访问网站或应用程序。确保手机可以正常上网，而不会受到攻击。
8. 点击开始攻击后，等待几秒攻击生效并显示动态条。查看下方实时统计面板的数据，并使用目标手机访问网站或应用程序查看数据面板更新。
9. 完成网站或应用程序功能后，单击“停止攻击”。攻击会立即停止，但服务器捕获了大量数据包需要顺序存储，因此实时统计面板数据可能会持续缓慢增加几分钟才停止。
10. 停止攻击后，等待几秒，看到数据包分析完成的消息。您可以在分析、统计、转储页面选择本次攻击的批次ID（最新ID），查看详细内容和图表。

1. 如果出现Web错误提示，请检查命令行jar包是否异常退出。该程序可能已崩溃。尝试重新启动罐子。注意程序的命令行日志。如果连续抛出错误，程序可能无法正常嗅探数据包。尝试重新启动罐子。
2. 如果路由器启用了静态IP/MAC绑定、禁用了DHCP或ARP防攻击模块，可能会导致程序只拦截上行报文，而不拦截下行报文。如果无法配置路由器设置，请切换到不同的设备并再次攻击。如果网关设备非常强大，攻击可能不会完全成功。
3. 开始攻击后，如果目标可以正常上网，但在程序管理页面没有嗅到数据包，或者目标无法上网，请检查系统是否启用了IP转发，仔细检查所有的IP和MAC网页中配置的设备，检查选择的网卡接口是否正确，检查服务器和目标手机是否连接在同一个路由器，检查目标手机的IP是否改变（可以是固定IP），检查是否运行 jar 的命令行窗口运行为管理员，请尝试重新启动计算机并等待几分钟后再重试。
4. 如果网卡接口列表中的命名无法确定选择哪一个，请打开注册表编辑器并检查注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces{*} 。该列表对应于接口列表。依次查看每个接口项，看看哪个配置与当前服务器IP匹配，即表示我们需要选择的接口。
5. 攻击时间不宜过长，几十秒为最佳。测试完成后，停止攻击，防止对目标和网关的持续攻击导致局域网内出现数据风暴，导致网关过载，导致整个局域网崩溃。

本项目前端界面如下

1. 局域网攻击页面

   1. 在此界面中，设置本机/目标/网关的网卡和IP、MAC，设置监控的域列表（一个域或多个域，以逗号分隔），然后控制攻击的启动或停止。
   2. 第一步是进行必要的设置。这些设置只能在每次重新启动程序后才能进行。这些信息会被保存到数据库中，下次启动程序时会自动读取这些信息。程序第一次启动时，会自动读取本地IP和MAC。这需要仔细确认是否正确。网卡需要选择正常上网所使用的网卡设备。目标是指我们需要监控的手机或者其他设备。网关一般是指我们通过Wi-Fi连接的路由器或者其他网关设备。以上所有信息必须严格配置正确，否则程序无法正常运行。设置界面如下图所示：
   3. 网关IP和MAC可以在网关设备上查看，也可以从本地路由表中查看，如下图：
   4. 当我们完成配置并保存或开始攻击后，待监控的域名地址列表将通过DNS进行解析，并将相应的IP列表更新到MongoDB中，然后局域网攻击和数据嗅探就正式开始了。界面会显示攻击状态，如下图：
   5. 此时，您可以将页面拖至下方查看数据包嗅探统计信息。统计部分主要分为上行和下行两种，进一步分为TCP/UDP/ICMP/ARP四种类型。上行是指从目标发送的报文，下行是指目标接收的报文。如果此时目标没有在浏览指定的域列表，则所有统计信息将始终为0。如果它开始浏览指定的域列表，则可以看到统计信息开始有数据，如下图：
   6. 当我们停止攻击时，将自动开始对该攻击中的数据包进行详细分析。攻击完成后，还会弹出提示，如下图：

2. 数据包分析页面

   1. 在该界面中，首先会显示数据包分析过程是否正在进行。如果仍在分析中，需要等待分析完成后才能查看结果。分析完成后，状态会自动切换为已完成，您可以查看分析结果。
   2. 首先，我们可以选择数据包过滤器：攻击批次 ID/上游或下游/协议/内容。每个过滤项可以多选或留空，这意味着所有类型都匹配。点击过滤后，下面第一个表格将显示分析后所有匹配到的数据包。注意，这里的报文与攻击接口中的报文不同。这里的报文都是组合报文，而攻击接口中的报文是原始帧。因此，这里的数据包数量比之前少了很多。在第一个表中，我们可以看到数据包的所有重要字段，包括分析后的一些字段（如HTTP header/HTTP body/METHOD等），如下图所示：
   3. 单击第一个表中的任意行后，检查下面的第二个表，看看该数据包对应哪些原始数据帧。我们可以在这里看到这些数据包的一些基本帧字段，如下图所示：

3. 数据包统计页面

   1. 同样，在该界面中，首先会显示数据包分析过程是否正在进行。如果仍在分析中，需要等待分析完成后才能查看结果。分析完成后，状态会自动切换为已完成，您可以查看分析结果。
   2. 首先，我们可以根据攻击批次进行过滤，可以多选，也可以留空，即匹配所有攻击批次，如下图：
   3. 点击过滤后，首先可以看到各种详细协议类型的数据包统计，主要分为上行和下行两类，每一类又分为HTTP/HTTPS/TCP/UDP/ICMP/ARP协议类型。注意，这里的TCP是指除HTTP和HTTPS之外的其他TCP协议类型，而HTTP和HTTPS是专门和常见的分别分析和统计的。统计界面如下图所示：
   4. 继续往下看，还可以看到各个协议类型的饼图，分为上游和下游两类，如下图所示：
   5. 同样，还可以看到各个内容类型的饼图，分为上行和下行两类，其中other是指除HTTP/HTTPS之外的其他TCP数据包以及无法分析的其他协议的数据包。由于无法分析此类数据包的实际内容，因此将其统一归类为other ，如下图所示：
   6. 我们还可以看到不同数据包内容根据时间线的分布情况。底部的多线图显示了各种数据包内容的趋势变化，而顶部的饼图则与鼠标进行交互。当鼠标在多线图的x轴上移动时，饼图会在x轴上实时显示当前时间各种数据包内容的统计情况和占比，如下图：
   7. 同样，时间线图也分为上游和下游，如下图所示，显示的是下游数据：

4. 数据包仓库页面

   1. 在这个页面中，我们可以看到每次攻击的基本数据，比如攻击ID/攻击时间/上游数据帧数/下游数据帧数等。我们还可以对每个攻击过程进行操作，重新分析，或者全部删除相关数据包及分析结果，如下图所示：

• 弗兰基·范 ([email protected])