广州企业建站,现代简约办公室设计,商丘哪里做网站,网站建立的流程来源 | 编程技术宇宙责编 | Carol封图 | CSDN付费下载自视觉中国我是一个网络监控软件#xff0c;我被开发出来的使命就是监控网络中进进出出的所有通信流量。这个网络中所有人的上网内容我都看的清清楚楚#xff0c;是不是很可怕#xff1f;我被一家公司老板买来运行在一个… 来源 | 编程技术宇宙责编 | Carol封图 | CSDN付费下载自视觉中国我是一个网络监控软件我被开发出来的使命就是监控网络中进进出出的所有通信流量。这个网络中所有人的上网内容我都看的清清楚楚是不是很可怕我被一家公司老板买来运行在一个配置极高的Linux服务器上这台服务器上的网卡可不得了公司进出的网络数据包都得流经它它源源不断的把数据包抓上来交给我来分析。你们应该也知道网络通信是分层的最常见的就是那个TCP/IP协议体系了。拿到数据包后我就得按照这个协议规范一层层的脱去协议的外壳拿到它们的负载数据。TCP会话重组我重点要照顾的是TCP协议因为好多应用都要使用TCP来传输像上网冲浪HTTP、发邮件SMTP、微信聊天等等。我想要掌控网络中的通信第一个就要拿TCP开刀得想办法把TCP传输的一个个数据包给重组起来形成一个完整的会话这样我才好知道应用层传了什么东西这个步骤叫做会话重组。不过这个TCP协议有点复杂抛开我们抓到的包本来就存在乱序的情况不说它本身还有三次握手、四次挥手、超时重传、延迟回复等很多机制有时候还会遇到时间跨度很久的长连接这无疑都给我想要重组TCP会话造成了很大的难度。而我重组TCP会话的唯一线索就是数据包包头中的序列号SEQ和确认号ACK。不过我还是死磕RFC规范把这些问题都攻克了能够成功重组出一个个的TCP会话数据成功率还蛮高的。应用协议识别TCP会话重组出来了我就可以拿到里面传输的数据了。接下来要做的一件事就是识别应用层到底是什么应用在传输的呢用我们的行话说那就是做应用协议识别这个时候我就得看一下端口了。我根据三次握手数据包的方向就可以确定出谁是客户端谁是服务端。再看一下服务端的端口号(这个在TCP包头里面就可以看到)就能知道这是一个什么服务了。像常见的有下面这些22: SSH远程登陆25: 邮件服务53: 域名解析服务80: HTTP Web服务3306: MySQL数据库服务3389: 远程桌面连接服务······最常见的就是80端口的Web服务了人类每天上网都在用到。有时候Web服务不走80端口换成了别的不过这难不倒我我可以通过分析TCP的负载数据特征看看有没有HTTP协议的特征出现因为HTTP协议的特征实在是太明显啦到了后来根据端口的经验出错的概率越来越大了我就统一根据内容来进行识别判断不再相信端口。每个应用都有它们各自的协议特征这个识别我可是下了点功夫轻易不会透露。文件还原现在我知道应用层是什么协议了我就可以把应用层协议传输的数据给整明白了。还是拿最常见的Web服务来说吧HTTP协议是一个基于请求-响应的协议比如下面的这一次通信请求是一个GET包看请求的资源貌似是一张JPG图片。再看响应包状态码是200 OK看来没啥问题。再看看Content-Typeimage/jpeg是个JPG图片没跑了。现在我就可以定位到响应包的负载段就是在HTTP头两个回车换行(0D0A)后面就是数据了。找到数据位置再根据Content-Length的大小把数据抠出来写成一个PNG格式的文件就大功告成了OMG这是哪个血气方刚的小伙子又在看美女图片了上面这个把协议中传输的文件提取出来的过程叫做文件还原除了HTTP协议我还支持文件传输协议FTP、邮件传输协议SMTP、文件共享的SMB协议呢。你们通过这些协议传输的文件我都能给你还原出来是不是很可怕HTTPS解密有一天我发现80端口的数据包越来越少了与此同时443端口的通信数据不知不觉多了起来。后来才知道原来为了防止被我这样的网络中间人窥探隐私他们都用上了一个叫HTTPS的技术。HTTPS把数据进行了加密传输这样我拿到以后都是加密后的没办法知道传输了什么内容。不过这家公司的老板很聪明他要求公司的员工电脑上都装上了一个“安全软件”美其名曰保护电脑不被入侵实际上啊是在他们的电脑上做了一个中间人劫持进行了HTTPS的证书替换。这个“安全软件”作为中间人把HTTPS证书和密钥告诉我我就可以解密HTTPS流量了你们上网干了啥我还是能知道的一清二楚网络阻断你以为我只能在一旁监听吗图样要是你们访问那些敏感的网站或者尝试把老板交代给我重点看护的数据偷偷传出去那我就不只是看着那么简单了这个时候我就要启动阻断功能。为了不影响公司网络的运转我一般都是旁路部署的这样要是我哪天抽风遇到了bug还可以立即把我撤下去。这个所谓旁路部署呢就是抓取的包都是一份拷贝而不是通过我转发。不过这样一来也给我阻断网络通信带来了一些麻烦如果我是串联到网络中那可就简单了遇到那些可疑的网络连接我直接丢掉数据包不转发出去就得了。可现在我不是串联而是旁路部署怎么办呢聪明如我怎么可能被这小小的问题难住我可是深谙TCP协议的行家在发现可疑的连接建立的时候就将它掐灭在萌芽状态具体来说TCP连接的建立是要经过三次握手的当我发现可疑的SYN数据包时在服务端回复第二次握手包之前以迅雷不及掩耳盗铃之势用服务器IP的名义伪造一个RST的数据包给客户端这样连接就被我掐断了这一招虽然不能保证百分之百成功但我离客户端更近我的伪造包一般都能比真正的服务端响应包早一步到达客户端所以成功率还是蛮高的唉说曹操曹操就到发现了一个可疑的连接来了先不说了我要去忙了彩蛋悄悄告诉你们上次公司HR给我导入了一批URL列表让我重点关注下都是谁在访问www.lagou.comwww.zhipin.cpmwww.liepin.comwww.geekxh.com重中之重更多阅读推荐20张图带你搞懂高并发中的线程与线程池《我想进大厂》之 MYSQL 夺命连环13问超详细 | 21张图带你领略集合的线程不安全杜甫在线演唱《奇迹再现》、兵马俑真人还原……用AI技术打破次元壁的大谷来参加腾讯全球数字生态大会啦谷歌软件工程师薪资百万大厂薪资有多高
