黑客24小时在线接单网站

图片来自 Pexels

我能清楚地看到这个 *** 上每个人的互联网内容。这可怕吗？

我被一家公司老板买来运行在一个配置极高的 Linux 在服务器上，这个服务器上的网卡非常棒。公司进出的 *** 数据包必须流经。它不断地抓住数据包并给我分析。

你也应该知道 *** 通信是分层的，最常见的是 TCP/IP 协议体系。

拿到数据包后，我必须按照这个协议规范一层一层地去掉协议的外壳，得到它们的负载数据。

TCP 会话重组

是我关注的焦点TCP 协议，因为很多应用都要用 TCP 传输，如上网冲浪 HTTP、发邮件 *** TP、微信聊天等等。

要控制 *** 中的通信，首先要拿 TCP 手术时，你必须想办法把 TCP 传输的数据包被重组成一个完整的会话，这样我就可以知道应用层传输了什么。这一步称为会话重组。

不过这个 TCP 协议有点复杂。不管我们抓到的包有多乱，它还有三次握手、四次挥手、加班重传、延迟回复等机制。

有时候还会遇到时间跨度很久的长连接，这无疑都给我想要重组 TCP 会话很难。

而我重组 TCP 会话的唯一线索是数据包头中的序列号 SEQ 和确认号 ACK。

但我还是死磕 RFC 规范，克服这些问题，成功重组 TCP 会话数据，成功率相当高。

应用协议识别

TCP 会话重组后，我可以得到里面传输的数据。接下来要做的一件事就是识别应用层是什么？

用我们的行话来说，就是做应用协议识别，这个时候我要看端口。

根据三次握手数据包的方向，我可以确定谁是客户端，谁是服务端。

看看服务端的端口号(这是 TCP 包头可以看到)，你可以知道这是什么服务。

像常见的有下面这些：

               
• 22：SSH 远程登陆
               
• 25：邮件服务
               
• 53：域名分析服务
               
• 80：HTTP Web 服务
               
• 3306：MySQL 数据库服务
               
• 3389：远程桌面连接服务
               
• ······

80 端口 最常见Web 服务，人类每天上网。

有时候 Web 服务不去 80 端口，换成别的，但这对我来说并不难。我可以通过分析 TCP 负载数据特征，看看是否有 HTTP 由于 HTTP 协议的特点太明显了！

后来，根据端口的经验出错的概率越来越大。我会根据内容进行识别和判断，不再相信端口。

每个应用程序都有自己的协议特征。我努力识别这个，不会轻易透露。

文件还原

现在我知道应用层是什么协议，所以我可以理解应用层协议传输的数据。

拿最常见的 Web 服务，HTTP 协议是基于请求的-响应协议，如以下通信：

请求是 GET 包，看要求的资源，好像是 JPG 图片。

再看看响应包，状态码是 200 OK，看起来没问题。Content-Type，image/jpeg，是个 JPG 图片没有跑。

现在我可以定位响应包的负载段，即 HTTP 头，两辆回车换行(0D0A)后面是数据。

找到数据位置，然后根据 Content-Length 的大小，把数据挖出来写成 PNG 格式文件大功告成！

OMG，这是哪个血气方刚的年轻人又在看美女图片了！

提取协议中传输的文件的过程称为文件还原，除 HTTP 我还支持文件传输协议 FTP、 邮件传输协议 *** TP、 文件共享 *** B 协议呢？

我可以通过这些协议还原你传输的文件。可怕吗？

HTTPS 解密

有一天，我发现 80 端口的数据包越来越少，与此同时，443 端口的通信数据也在不知不觉中增加。

后来才知道，为了防止像我这样的 *** 中间人窥探隐私，他们都用了一个叫 的HTTPS 的技术。

HTTPS 对数据进行加密传输，这样我得到后就加密了，不知道传输了什么。

然而，公司的老板非常聪明。他要求公司员工在电脑上安装一个“安全软件”。

它被称为保护计算机免受入侵。事实上，它在他们的电脑上劫持了一个中间人，并进行了 HTTPS 取代证书(如果你不相信，你可以看看这个:谁动了你的 HTTPS 流量)。

这个“安全软件” 作为中间人HTTPS 如果证书和密钥告诉我，我可以解密 HTTPS 流量！我还能知道你在网上做了什么！

*** 阻断

你以为我只能一边监视吗？

如果你访问那些敏感的网站，或者试图秘密传输老板给我关注的数据，那么我不仅看起来那么简单，这次我将启动阻断功能。

为了不影响公司 *** 的运行，我通常是旁路部署的，所以如果有一天我遇到 Bug，也可以马上把我撤下来。

所谓旁路部署，就是抓取的包都是复制品，而不是我转发。

然而，这也给我带来了络通信带来了一些麻烦。如果我把它们串联到 *** 中，那就很简单了。当我遇到那些可疑的 *** 连接时，我会直接丢失数据包，而不是转发。

但现在我不是串联，而是旁路部署。我该怎么办？

聪明如我，怎么能被这个小问题困住呢？我很清楚 TCP 协议专家在发现可疑连接建立时，将其扼杀在萌芽状态！

具体来说，TCP 连接的建立需要三次握手:

当我发现可疑的 SYN 数据包时，在服务端回复第二次握手包之前，使用服务器 IP 伪造一个 的名字RST 数据包给客户端，这样连接就被我切断了！

虽然这个动作不能保证100%的成功，但我更接近客户端，我的伪造包通常比真正的服务端响应包早一步到达客户端，所以成功率相当高！

唉，说曹操，曹操来了！我发现了一个可疑的联系。我不会说的。我要忙了～

彩蛋:悄悄告诉你上次公司 HR 给我介绍了一批 URL 列表，让我关注谁在访问:

               
• www.lagou.com
               
• www.zhipin.cpm
               
• www.liepin.com

作者：轩辕风

陶家龙

来源:微信官方账号编程技术宇宙转载(ID：xuanyuancoding)