jpcap mitm

該應用程式解決了 LAN 攻擊和資料嗅探的問題。它可以對區域網路內的任意目標終端進行點對點攻擊，並嗅探目標終端的上下行網路資料。針對網路資料的多源異質性和即時性，結合MongoDB天然的NoSQL特性，設計了針對性的偵測監控引擎。

 1. Server: The core technology used in the backend is SpringBoot. The core technologies used for network attacks include winpcap, jpcap, ARP Spoofing (ARP deception), MITM (Man-in-the-Middle Attack), and network packet grouping/degrouping, decompression, and restoration.
2. Client: The core technologies used in the frontend include Angular6, ECharts, etc.
3. Packaging and Deployment: The front-end and back-end are packaged into the same jar file using Maven.

1. Java（不要選擇64位元）：Java下載
2. MongoDB（必須選擇3.4.24）：MongoDB下載
3. WinPcap最新：WinPcap下載
4. Wireshark：Wireshark 下載
5. Maven、NodeJS

1. 啟用 IP 轉送： sudo sysctl -w net.inet.ip.forwarding=1 。檢查 IP 轉送是否已啟用（應為 1）： sudo sysctl -a | grep net.inet.ip.forwarding 。系統重新啟動後，IP轉送將恢復為預設關閉狀態，因此必須重新啟用；否則，被攻擊的目標將無法正常存取網路。
2. 將MongoDB安裝目錄下的bin目錄的絕對路徑加入環境變數path中，即可透過命令列啟動MongoDB服務。
3. 將libjpcap.jnilib複製到/Library/Java/Extensions/ 。
4. 確保運行該程式的伺服器和目標手機透過Wi-Fi連接到同一路由器。
5. 命令列進入程式碼根目錄，使用Maven編譯打包： mvn package -Dmaven.test.skip=true ，將jpcap-mitm.jar複製到任意目錄作為工作目錄，並建立data/db該工作目錄中的資料夾作為MongoDB 資料資料夾。
6. 打開下載的Wireshark dmg包，會看到一個Install ChmodBPF.pkg包，雙擊安裝該軟體包。

1. 開啟終端，導航到指定的工作目錄，然後執行mongod --dbpath=data/db 。幾秒鐘後，等待 MongoDB 服務成功運行，並列印類似以下內容的日誌：*** waiting for Connections on port 27017。
2. 按一下左下角的 Windows 開始按鈕，輸入cmd ，然後右鍵單擊以管理員身份執行命令列。在命令列中導航到D:mitm ，然後執行java -jar jpcap-mitm.jar 。等待服務成功運行並列印類似以下內容的日誌：*** Started Application in ** Seconds。
3. 開啟 Chrome 瀏覽器並導航至http://localhost:8888 ，或透過http://<local IP>:8888從另一個裝置遠端存取該程式。
4. 成功開啟本程式的管理站點後，在Select interface選擇正確的網路卡，設定本地IP和MAC、目標手機IP和MAC、網關（路由器）IP和MAC。請注意，這些都是內部網路 IP，並且應該位於同一子網路中。
5. 目標手機的IP和MAC可以在手機的Wi-Fi連線資訊中查看。如果您不知道本機 IP 和 MAC 或路由器的 IP 和 MAC，請在終端機中輸入ifconfig以尋找 IPv4 位址、實體位址和預設閘道。執行arp -a尋找網關的 MAC。
6. 設定完以上資訊後，點擊設定按鈕，應用程式就會建立對應的連線。每次程式啟動時，您可以重置連接，但一旦設置，就無法修改。若要重置，請按control+c在命令列視窗中關閉jpcap-mitm.jar進程，然後重新啟動程式。
7. 在開始攻擊之前，請嘗試使用目標手機造訪網站或應用程式。確保手機可以正常上網，而不會受到攻擊。
8. 點擊開始攻擊後，等待幾秒鐘攻擊生效並顯示動態條。查看下方即時統計面板的數據，並使用目標手機造訪網站或應用程式查看數據面板更新。
9. 完成網站或應用程式功能後，按一下「停止攻擊」。攻擊會立即停止，但伺服器捕獲了大量資料包需要順序存儲，因此即時統計面板資料可能會持續緩慢增加幾分鐘才停止。
10. 停止攻擊後，等待幾秒，看到資料包分析完成的訊息。您可以在分析、統計、轉儲頁面選擇本次攻擊的批次ID（最新ID），查看詳細內容和圖表。

1. 如果出現Web錯誤提示，請檢查命令列jar包是否異常退出。該程式可能已崩潰。嘗試重新啟動罐子。注意程式的命令列日誌。如果連續拋出錯誤，程式可能無法正常嗅探資料包。嘗試重新啟動罐子。
2. 如果路由器啟用了靜態IP/MAC綁定、停用了DHCP或ARP防攻擊模組，可能會導致程式只攔截上行封包，而不攔截下行封包。如果無法設定路由器設置，請切換到不同的裝置並再次攻擊。如果網關設備非常強大，攻擊可能不會完全成功。
3. 開始攻擊後，如果目標可以正常上網，但在程式管理頁面沒有嗅到資料包，或者目標無法上網，請檢查系統是否啟用了IP轉發，仔細檢查所有的IP和MAC網頁中配置的設備，檢查選擇的網卡介面是否正確，檢查伺服器和目標手機是否連接在同一個路由器，檢查目標手機的IP是否改變（可以是固定IP），檢查是否運行jar 的命令列視窗以管理員身份運行，請嘗試重新啟動計算機並等待幾分鐘，然後重試。
4. 攻擊時間不宜過長，幾十秒為最佳。測試完成後，停止攻擊，防止對目標和網關的持續攻擊導致區域網路內出現資料風暴，導致網關過載，導致整個區域網路崩潰。

1. Java（不要選擇64位元）：Java下載
2. MongoDB（必須選擇3.4.24）：MongoDB下載
3. WinPcap最新：WinPcap下載
4. Maven、NodeJS

1. 啟用 IP 轉送：按一下左下角的 Windows 開始按鈕，鍵入regedit ，然後選擇登錄編輯程式。右鍵點選以管理員身份執行註冊表編輯器。導覽至登錄項目HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters ，選擇IPEnableRouter項目並將值變更為 1。
2. 將MongoDB安裝目錄下的bin目錄的絕對路徑加入環境變數path中，即可透過命令列啟動MongoDB服務。
3. 為此程式建立一個工作目錄。例如，建立資料夾D:mitm作為工作目錄。在與工作目錄相同的根目錄中，建立 MongoDB 資料夾data/db 。例如，如果根目錄為D ，則建立資料夾D:datadb 。
4. 確保運行該程式的伺服器和目標手機透過Wi-Fi連接到同一路由器。
5. 命令列進入程式碼根目錄，使用Maven編譯打包： mvn package -Dmaven.test.skip=true ，將jpcap-mitm.jar和Jpcap.dll複製到工作目錄，並建立data/db資料夾作為MongoDB 資料資料夾。

1. 按一下左下角的 Windows 開始按鈕，輸入cmd ，然後右鍵單擊以管理員身份執行命令列。導航到D: ，然後執行mongod 。幾秒後，等待MongoDB服務成功運行，並列印類似如下的日誌：*** waiting for Connections on port 27017。所選狀態將導致服務暫停。
2. 按一下左下角的 Windows 開始按鈕，輸入cmd ，然後右鍵單擊以管理員身份執行命令列。在命令列中導航到D:mitm ，然後執行java -jar jpcap-mitm.jar 。等待服務成功運行並列印類似以下內容的日誌：*** Started Application in ** Seconds。
3. 開啟 Chrome 瀏覽器並導航至http://localhost:8888 ，或透過http://<local IP>:8888從另一個裝置遠端存取該程式。
4. 成功開啟本程式的管理站點後，在Select interface選擇正確的網路卡，設定本地IP和MAC、目標手機IP和MAC、網關（路由器）IP和MAC。請注意，這些都是內部網路 IP，並且應該位於同一子網路中。
5. 目標手機的IP和MAC可以在手機的Wi-Fi連線資訊中查看。如果您不知道本機 IP 和 MAC 或路由器的 IP 和 MAC，請按一下左下角的 Windows 開始按鈕，輸入cmd ，然後右鍵按一下以管理員身分執行命令列。在命令列中輸入ipconfig /all找到無線網路卡 Wi-Fi 部分，找到 IPv4 位址、實體位址和預設閘道。執行arp -a尋找網關的 MAC。
6. 設定完以上資訊後，點擊設定按鈕，應用程式就會建立對應的連線。每次程式啟動時，您可以重置連接，但一旦設置，就無法修改。若要重置，請按control+c在命令列視窗中關閉jpcap-mitm.jar進程，然後重新啟動程式。
7. 在開始攻擊之前，請嘗試使用目標手機造訪網站或應用程式。確保手機可以正常上網，而不會受到攻擊。
8. 點擊開始攻擊後，等待幾秒鐘攻擊生效並顯示動態條。查看下方即時統計面板的數據，並使用目標手機造訪網站或應用程式查看數據面板更新。
9. 完成網站或應用程式功能後，按一下「停止攻擊」。攻擊會立即停止，但伺服器捕獲了大量資料包需要順序存儲，因此即時統計面板資料可能會持續緩慢增加幾分鐘才停止。
10. 停止攻擊後，等待幾秒，看到資料包分析完成的訊息。您可以在分析、統計、轉儲頁面選擇本次攻擊的批次ID（最新ID），查看詳細內容和圖表。

1. 如果出現Web錯誤提示，請檢查命令列jar包是否異常退出。該程式可能已崩潰。嘗試重新啟動罐子。注意程式的命令列日誌。如果連續拋出錯誤，程式可能無法正常嗅探資料包。嘗試重新啟動罐子。
2. 如果路由器啟用了靜態IP/MAC綁定、停用了DHCP或ARP防攻擊模組，可能會導致程式只攔截上行封包，而不攔截下行封包。如果無法設定路由器設置，請切換到不同的裝置並再次攻擊。如果網關設備非常強大，攻擊可能不會完全成功。
3. 開始攻擊後，如果目標可以正常上網，但在程式管理頁面沒有嗅到資料包，或者目標無法上網，請檢查系統是否啟用了IP轉發，仔細檢查所有的IP和MAC網頁中配置的設備，檢查選擇的網卡介面是否正確，檢查伺服器和目標手機是否連接在同一個路由器，檢查目標手機的IP是否改變（可以是固定IP），檢查是否運行jar 的命令列視窗以管理員身份運行，請嘗試重新啟動計算機並等待幾分鐘，然後重試。
4. 如果網卡介面清單中的命名無法確定選擇哪一個，請開啟登錄編輯程式並檢查登錄項目HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces{*} 。此列表對應於介面列表。依序查看每個介面項，看看哪個配置與目前伺服器IP匹配，即表示我們需要選擇的介面。
5. 攻擊時間不宜過長，幾十秒為最佳。測試完成後，停止攻擊，防止對目標和網關的持續攻擊導致區域網路內出現資料風暴，導致網關過載，導致整個區域網路崩潰。

本專案前端介面如下

1. 區域網路攻擊頁面

   1. 在此介面中，設定本機/目標/網關的網路卡和IP、MAC，設定監控的網域清單（一個網域或多個網域，以逗號分隔），然後控制攻擊的啟動或停止。
   2. 第一步是進行必要的設定。這些設定只能在每次重新啟動程序後才能進行。這些資訊會被儲存到資料庫中，下次啟動程式時會自動讀取這些資訊。程式第一次啟動時，會自動讀取本機IP和MAC。這需要仔細確認是否正確。網路卡需選擇正常上網所使用的網卡設備。目標是指我們需要監控的手機或其他設備。網關一般是指我們透過Wi-Fi連接的路由器或其他網關設備。以上所有資訊必須嚴格配置正確，否則程式無法正常運作。設定介面如下圖所示：
   3. 網關IP和MAC可以在網關設備上查看，也可以從本機路由表中查看，如下圖：
   4. 當我們完成設定並保存或開始攻擊後，待監控的網域位址清單將透過DNS進行解析，並將對應的IP清單更新到MongoDB中，然後區域網路攻擊和資料嗅探就正式開始了。介面會顯示攻擊狀態，如下圖：
   5. 此時，您可以將頁面拖曳到下方查看資料包嗅探統計資料。統計部分主要分為上行和下行兩種，進一步分為TCP/UDP/ICMP/ARP四種類型。上行是指從目標發送的報文，下行是指目標接收的報文。如果此時目標沒有在瀏覽指定的網域列表，則所有統計資料將始終為0。
   6. 當我們停止攻擊時，將自動開始對該攻擊中的資料包進行詳細分析。攻擊完成後，也會彈出提示，如下圖：

2. 資料包分析頁面

   1. 在該介面中，首先會顯示資料包分析過程是否正在進行。如果仍在分析中，需要等待分析完成後才能查看結果。分析完成後，狀態會自動切換為已完成，您可以查看分析結果。
   2. 首先，我們可以選擇資料包過濾器：攻擊批次 ID/上游或下游/協定/內容。每個過濾項可以多選或留空，這意味著所有類型都匹配。點擊過濾後，下面第一個表格將顯示分析後所有符合的資料包。注意，這裡的封包與攻擊介面中的封包不同。這裡的報文都是組合報文，而攻擊介面中的封包是原始訊框。因此，這裡的資料包數量比之前少了很多。在第一個表中，我們可以看到資料包的所有重要字段，包括分析後的一些字段（如HTTP header/HTTP body/METHOD等），如下圖所示：
   3. 點擊第一個表中的任意行後，檢查下面的第二個表，看看該資料包對應哪些原始資料幀。我們可以在這裡看到這些資料包的一些基本幀字段，如下圖所示：

3. 資料包統計頁面

   1. 同樣，在該介面中，首先會顯示資料包分析過程是否正在進行。如果仍在分析中，需要等待分析完成後才能查看結果。分析完成後，狀態會自動切換為已完成，您可以查看分析結果。
   2. 首先，我們可以根據攻擊批次進行過濾，可以多選，也可以留空，即匹配所有攻擊批次，如下圖：
   3. 點擊過濾後，首先可以看到各種詳細協定類型的封包統計，主要分為上行和下行兩類，每一類又分為HTTP/HTTPS/TCP/UDP/ICMP/ARP協定類型。注意，這裡的TCP是指除HTTP和HTTPS之外的其他TCP協定類型，而HTTP和HTTPS是專門和常見的分別分析和統計的。統計介面如下圖所示：
   4. 繼續往下看，還可以看到各個協定類型的圓餅圖，分成上游和下游兩類，如下圖所示：
   5. 同樣，也可以看到各個內容類型的圓餅圖，分為上行和下行兩類，其中other是指除HTTP/HTTPS之外的其他TCP封包以及無法分析的其他協定的封包。由於無法分析此類資料包的實際內容，因此將其統一歸類為other ，如下圖所示：
   6. 我們也可以看到不同資料包內容根據時間軸的分佈。底部的多線圖顯示了各種資料包內容的趨勢變化，而頂部的圓餅圖則與滑鼠進行互動。當滑鼠在多線圖的x軸上移動時，圓餅圖會在x軸上即時顯示當前時間各種資料包內容的統計情況和占比，如下圖：
   7. 同樣，時間軸圖也分為上游和下游，如下圖所示，顯示的是下游資料：

4. 資料包倉儲頁面

   1. 在這個頁面中，我們可以看到每次攻擊的基本數據，例如攻擊ID/攻擊時間/上游數據幀數/下游數據幀數等。刪除相關資料包及分析結果，如下圖所示：

• 法蘭基‧範 ([email protected])