内网很安全？错错错！附攻击演示

给企业做单点登录咨询和实施的时候，讲到通信环节的安全性，常听到这种声音：这些系统只在内网使用，不用https没关系！

包括在我前一篇《看完48秒动画，让你不敢再登录HTTP网站》的评论里，也有不少程序猿觉得我演示的案例，在现实网络中难以实现。

这个观点非常错误和危险，并且还特别迎合直观：内网屏蔽了绝大部分外部的黑客攻击，应该会安全得多吧？

为此，我把给企业做培训和顾问时，常会演示的程序，给大家做个分享。

当内网中有人运行这个程序，你在自己电脑上网会被同事实时“直播”；手机明明连的是公司有“安全”标记的wifi，访问单位OA时竟也会被轻松嗅探走账号密码。大部分人都会目瞪口呆，彻底改变“内网很安全”、“标记了'安全'的公司wifi很安全”的认识。

 

这个版本，是在我github开源的HttpHijacker基础上，增加了三个功能：

1. 网络设备嗅探

2. ARP欺骗

3. 数据包转发

涉及到的都是最基础的网络协议。

 

大家在自己电脑运行本程序，可以看到同一局域网段或wifi的上网设备，并选择其中任一设备执行监听。

被监听设备上的所有http访问，都会实时被该程序监听并记录。

选择被监听到的任一条记录，点击“劫持选中http会话”，你的浏览器会自动打开该站点，并用被劫持者的账号身份登入，可随意查看和修改数据。

 ——咳咳，考虑到好奇心甚的程序猿们，拿该程序可能造成的影响或者背负的嫌疑，我把程序做了一点限制：代码不开源；监听记录URL做截断；将可劫持的域名限制为attack-demo.baibaomen.com。

 

大家要验证和演示http会话劫持，请让其他同事用局域网的电脑或wifi手机，访问http://attack-demo.baibaomen.com，在其中输入任意账号或密码后进入个人设置界面。与此同时，你在电脑上启动监听程序，选择或手动输入同事电脑IP点击监听，将实时监听到该同事的站点浏览情况，选择劫持还将自动以其身份进入被劫持系统，随意查看和操作数据。

 

 

程序添加到了https://github.com/baibaomen/Baibaomen.HttpHijacker，下载“百宝门内网攻击演示程序.zip”，解压即可运行。程序在本人开源的HttpHijacker上，增加了一些网络攻击的演示功能。

 程序执行时会在网络上启动ARP攻击，请慎重体验。对于网关上做了MAC地址绑定的网络环境，该攻击一般只会导致目标机器和网关通信的中断（单向MAC欺骗成功）。

 

希望通过这个程序的演示，能让大家都意识到网络安全性很脆弱。也藉此给出的警示，能尽快把国外已经先行力推的https，引入我们企业的信息化建设中来。至少，希望在SSO这个把所有鸡蛋（被集成系统的账号密码）都放在一个篮子的场景里，https能尽快成为企业认可的必选项。

 

一切未保留原文链接的转载，均属侵权行为： http://www.cnblogs.com/baibaomen/p/intranet-attack.html  

业务合作或授权协商请邮件：baibaomen@gmail.com。 

本作品采用知识共享署名-非商业性使用-相同方式共享 2.5 中国大陆许可协议进行许可。

我的博客欢迎复制共享，但在同时，请保留原文地址，以及我的署名权百宝门-SSO顾问，并且，不得用于商业用途。

博客园专栏：百宝门-SSO顾问