LAN-Spy是一个局域网连接监视器，能够扫描局域网内的主机，对可能存在的TCP连接进行检测。 程序最初计划建立在控制台界面下，但为了使用方便，为核心模块开发了GUI支持。

本程序使用时需要的库支持：.net framework 4.6及以上，WinPcap 4.1.3。 源码编译建议使用Microsoft Visual Studio 2017自动导入工程，并从Nuget下载SharpPcap和PacketDotNet两个库。

本程序的核心模块分为三个部分：扫描器、毒化器和监视器。

扫描器有两种工作方式，一种是通过使用ARP请求洪泛方式，回收从局域网内主机发出的ARP响应； 另一种是通过被动监测局域网内的ARP广播请求或者响应，以静默方式进行工作，避免洪泛被其他人侦测到，但效率不及第一种方法。

毒化器的目的是为了在无法通过正常渠道获得局域网流量时的能够通过一些其他手段获得这些数据， 其原理为ARP毒化攻击，模式为持续性毒化，并提供流量转发以降低受害者察觉到的概率。

监视器通过检测流经网络设备的ACK包来确定连接的工作状态，检测到一定量的ACK后即可确认连接存活， 检测到FIN或者RST标志时认为连接中断。此种检测方法准确率不高，而由于本人是个菜鸟，短时间内实现不出替代方案， 本来打算结合DPI技术进行检测，但实现DPI的工作量太大，也没能找到C#下的开源DPI库，因此只能妥协。 另外，监视器提供了断开特定连接的方法，使用FIN包进行攻击，具有一定的有效性（测试时断开了SSH连接）。

有了GUI使用起来比命令行亲民多了，大概使用方法如下：

启动模块 -> 扫描主机 -> （可选）毒化目标 -> 监视流量 -> （可选）断开连接 -> 停止模块