来自一个网络监控软件的自述

自述

我是一个网络监控软件，我被开发出来的使命就是监控网络中进进出出的全部通讯流量。这个网络中全部人的上网内容我都看的清清楚楚，是否是很可怕？

我被一家公司老板买来运行在一个配置极高的 Linux 服务器上，这台服务器上的网卡可不得了，公司进出的网络数据包都得流经它，它源源不断的把数据包抓上来交给我来分析。

大家应该也知道，网络通讯是分层的，最多见的就是那个 TCP/IP 协议体系了。

拿到数据包后，我就得按照这个协议规范，一层层的脱去协议的外壳，拿到它们的负载数据。

TCP 会话重组

我重点要照顾的是 TCP 协议，由于好多应用都要使用 TCP 来传输，像上网冲浪 HTTP、发邮件 SMTP、微信聊天等等。

我想要掌控网络中的通讯，第一个就要拿 TCP 开刀，得想办法把 TCP 传输的一个个数据包给重组起来，造成一个完整的会话，这样我才好知道应用层传了什么东西，这个步骤叫作会话重组。

不过这个 TCP 协议有点复杂，抛开咱们抓到的包原本就存在乱序的状况不说，它自己还有三次握手、四次挥手、超时重传、延迟回复等不少机制。

有时候还会遇到时间跨度好久的长链接，这无疑都给我想要重组 TCP 会话形成了很大的难度。

而我重组 TCP 会话的惟一线索就是数据包包头中的序列号 SEQ 和确认号 ACK。

不过我仍是死磕 RFC 规范，把这些问题都攻克了，可以成功重组出一个个的 TCP 会话数据，成功率还蛮高的。

应用协议识别

TCP 会话重组出来了，我就能够拿到里面传输的数据了。接下来要作的一件事就是识别应用层究竟是什么应用在传输的呢？

用咱们的行话说，那就是作应用协议识别，这个时候我就得看一下端口了。

我根据三次握手数据包的方向，就能够肯定出谁是客户端，谁是服务端。

再看一下服务端的端口号（这个在 TCP 包头里面就能够看到），就能知道这是一个什么服务了。

像常见的有下面这些：
22：SSH 远程登录
25：邮件服务
53：域名解析服务
80：HTTP Web 服务
3306：MySQL 数据库服务
3389：远程桌面链接服务
······

最多见的就是 80 端口的 Web 服务了，人类天天上网都在用到。

有时候 Web 服务不走 80 端口，换成了别的，不过这难不倒我，我能够经过分析 TCP 的负载数据特征，看看有没有 HTTP 协议的特征出现，由于 HTTP 协议的特征实在是太明显啦！

到了后来，根据端口的经验出错的几率愈来愈大了，我就统一根据内容来进行识别判断，再也不相信端口。

每一个应用都有它们各自的协议特征，这个识别我但是下了点功夫，轻易不会透露。

文件还原

如今我知道应用层是什么协议了，我就能够把应用层协议传输的数据给整明白了。

仍是拿最多见的 Web 服务来讲吧，HTTP 协议是一个基于请求-响应的协议，好比下面的这一次通讯：

请求是一个 GET 包，看请求的资源貌似是一张 JPG 图片。

再看响应包，状态码是 200 OK，看来没啥问题。再看看 Content-Type，image/jpeg，是个 JPG 图片没跑了。

如今我就能够定位到响应包的负载段，就是在 HTTP 头，两个回车换行（0D0A）后面就是数据了。

找到数据位置，再根据 Content-Length 的大小，把数据抠出来写成一个 PNG 格式的文件就大功告成了！

OMG，这是哪一个血气方刚的小伙子又在看美女图片了！

上面这个把协议中传输的文件提取出来的过程叫作文件还原，除了 HTTP 协议，我还支持文件传输协议 FTP、邮件传输协议 SMTP、文件共享的 SMB 协议呢。

大家经过这些协议传输的文件，我都能给你还原出来，是否是很可怕？

HTTPS 解密

有一天，我发现 80 端口的数据包愈来愈少了，与此同时，443 端口的通讯数据不知不觉多了起来。

后来才知道原来为了防止被我这样的网络中间人窥探隐私，他们都用上了一个叫 HTTPS 的技术。

HTTPS 把数据进行了加密传输，这样我拿到之后都是加密后的，没办法知道传输了什么内容。

不过这家公司的老板很聪明，他要求公司的员工电脑上都装上了一个“安全软件”。

美其名曰保护电脑不被入侵，实际上啊是在他们的电脑上作了一个中间人劫持，进行了 HTTPS 的证书替换（你不信能够看看这个：谁动了你的 HTTPS 流量？）。

这个“安全软件”做为中间人把 HTTPS 证书和密钥告诉我，我就能够解密 HTTPS 流量了！大家上网干了啥我仍是能知道的一清二楚！

网络阻断

你觉得我只能在一旁监听吗？图样！

要是大家访问那些敏感的网站，或者尝试把老板交代给我重点看护的数据偷偷传出去，那我就不仅是看着那么简单了，这个时候我就要启动阻断功能。

为了避免影响公司网络的运转，我通常都是旁路部署的，这样要是我哪天抽风遇到了 Bug，还能够当即把我撤下去。

这个所谓旁路部署呢，就是抓取的包都是一份拷贝，而不是经过我转发。

不过这样一来也给我阻断网络通讯带来了一些麻烦，若是我是串联到网络中，那可就简单了，遇到那些可疑的网络链接我直接丢掉数据包，不转发出去就得了。

可如今我不是串联，而是旁路部署，怎么办呢？

聪明如我，怎么可能被这小小的问题难住？我但是深谙 TCP 协议的行家，在发现可疑的链接创建的时候，就将它掐灭在萌芽状态！

具体来讲，TCP 链接的创建是要通过三次握手的：

当我发现可疑的 SYN 数据包时，在服务端回复第二次握手包以前，以迅雷不及掩耳盗铃之势，用服务器 IP 的名义伪造一个 RST 的数据包给客户端，这样链接就被我掐断了！

这一招虽然不能保证百分之百成功，但我离客户端更近，个人伪造包通常都能比真正的服务端响应包早一步到达客户端，因此成功率仍是蛮高的！

唉，说曹操，曹操就到！发现了一个可疑的链接来了，先不说了，我要去忙了～