[[341205]]

我是一個網絡監控軟件，我被開發出來的使命就是監控網絡中進進出出的所有通信流量。這個網絡中所有人的上網內容我都看的清清楚楚，是不是很可怕?

我被一家公司老板買來運行在一個配置極高的Linux服務器上，這臺服務器上的網卡可不得了，公司進出的網絡數據包都得流經它，它源源不斷的把數據包抓上來交給我來分析。

你們應該也知道，網絡通信是分層的，最常見的就是那個TCP/IP協議體系了。

拿到數據包后，我就得按照這個協議規范，一層層的脫去協議的外殼，拿到它們的負載數據。

TCP會話

重組我重點要照顧的是TCP協議，因為好多應用都要使用TCP來傳輸，像上網沖浪HTTP、發郵件SMTP、微信聊天等等。

我想要掌控網絡中的通信，第一個就要拿TCP開刀，得想辦法把TCP傳輸的一個個數據包給重組起來，形成一個完整的會話，這樣我才好知道應用層傳了什么東西，這個步驟叫做會話重組。

不過這個TCP協議有點復雜，拋開我們抓到的包本來就存在亂序的情況不說，它本身還有三次握手、四次揮手、超時重傳、延遲回復等很多機制，有時候還會遇到時間跨度很久的長連接，這無疑都給我想要重組TCP會話造成了很大的難度。

而我重組TCP會話的唯一線索就是數據包包頭中的序列號SEQ和確認號ACK。

不過我還是死磕RFC規范，把這些問題都攻克了，能夠成功重組出一個個的TCP會話數據，成功率還蠻高的。

應用協議識別

TCP會話重組出來了，我就可以拿到里面傳輸的數據了。接下來要做的一件事就是識別應用層到底是什么應用在傳輸的呢?

用我們的行話說，那就是做應用協議識別，這個時候我就得看一下端口了。

我根據三次握手數據包的方向，就可以確定出誰是客戶端，誰是服務端。

再看一下服務端的端口號(這個在TCP包頭里面就可以看到)，就能知道這是一個什么服務了。

像常見的有下面這些：

• 22: SSH遠程登陸
• 25: 郵件服務
• 53: 域名解析服務
• 80: HTTP Web服務
• 3306: MySQL數據庫服務
• 3389: 遠程桌面連接服務
• ······

最常見的就是80端口的Web服務了，人類每天上網都在用到。有時候Web服務不走80端口，換成了別的，不過這難不倒我，我可以通過分析TCP的負載數據特征，看看有沒有HTTP協議的特征出現，因為HTTP協議的特征實在是太明顯啦!

到了后來，根據端口的經驗出錯的概率越來越大了，我就統一根據內容來進行識別判斷，不再相信端口。每個應用都有它們各自的協議特征，這個識別我可是下了點功夫，輕易不會透露。

文件還原

現在我知道應用層是什么協議了，我就可以把應用層協議傳輸的數據給整明白了。

還是拿最常見的Web服務來說吧，HTTP協議是一個基于請求-響應的協議，比如下面的這一次通信：

請求是一個GET包，看請求的資源貌似是一張JPG圖片。

再看響應包，狀態碼是200 OK，看來沒啥問題。再看看Content-Type，image/jpeg，是個JPG圖片沒跑了。

現在我就可以定位到響應包的負載段，就是在HTTP頭，兩個回車換行(0D0A)后面就是數據了。

找到數據位置，再根據Content-Length的大小，把數據摳出來寫成一個PNG格式的文件就大功告成了!

OMG，這是哪個血氣方剛的小伙子又在看美女圖片了!

上面這個把協議中傳輸的文件提取出來的過程叫做文件還原，除了HTTP協議，我還支持文件傳輸協議FTP、郵件傳輸協議SMTP、文件共享的SMB協議呢。你們通過這些協議傳輸的文件，我都能給你還原出來，是不是很可怕?

HTTPS解密

有一天，我發現80端口的數據包越來越少了，與此同時，443端口的通信數據不知不覺多了起來。后來才知道原來為了防止被我這樣的網絡中間人窺探隱私，他們都用上了一個叫HTTPS的技術。

HTTPS把數據進行了加密傳輸，這樣我拿到以后都是加密后的，沒辦法知道傳輸了什么內容。

不過這家公司的老板很聰明，他要求公司的員工電腦上都裝上了一個“安全軟件”，美其名曰保護電腦不被入侵，實際上啊是在他們的電腦上做了一個中間人劫持，進行了HTTPS的證書替換(你不信可以看看這個：誰動了你的HTTPS流量?)。

這個“安全軟件”作為中間人把HTTPS證書和密鑰告訴我，我就可以解密HTTPS流量了!你們上網干了啥我還是能知道的一清二楚!

網絡阻斷

你以為我只能在一旁監聽嗎?圖樣!

要是你們訪問那些敏感的網站，或者嘗試把老板交代給我重點看護的數據偷偷傳出去，那我就不只是看著那么簡單了，這個時候我就要啟動阻斷功能。

為了不影響公司網絡的運轉，我一般都是旁路部署的，這樣要是我哪天抽風遇到了bug，還可以立即把我撤下去。這個所謂旁路部署呢，就是抓取的包都是一份拷貝，而不是通過我轉發。

不過這樣一來也給我阻斷網絡通信帶來了一些麻煩，如果我是串聯到網絡中，那可就簡單了，遇到那些可疑的網絡連接我直接丟掉數據包，不轉發出去就得了。

可現在我不是串聯，而是旁路部署，怎么辦呢?

聰明如我，怎么可能被這小小的問題難住?我可是深諳TCP協議的行家，在發現可疑的連接建立的時候，就將它掐滅在萌芽狀態!

具體來說，TCP連接的建立是要經過三次握手的：

當我發現可疑的SYN數據包時，在服務端回復第二次握手包之前，以迅雷不及掩耳盜鈴之勢，用服務器IP的名義偽造一個RST的數據包給客戶端，這樣連接就被我掐斷了!

這一招雖然不能保證百分之百成功，但我離客戶端更近，我的偽造包一般都能比真正的服務端響應包早一步到達客戶端，所以成功率還是蠻高的!

唉，說曹操，曹操就到!發現了一個可疑的連接來了，先不說了，我要去忙了～

本文轉載自微信公眾號「 編程技術宇宙」，可以通過以下二維碼關注。轉載本文請聯系 編程技術宇宙公眾號。