20175103王伟泽 Exp7 网络欺诈防范
一、实验前准备
1.实践目的
理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
2.实践对象
Linux系统:kali攻击机
Windows 7系统:靶机
3.实践内容
- 简单应用SET工具建立冒名网站
- ettercap DNS spoof
- 结合应用两种技术,用DNS spoof引导特定访问到冒名网站
- 请勿使用外部网站做实验
4.预备知识
Social-Engineer Toolkit(SET)
- 社会工程师工具包(SET)由TrustedSec的创始人Dave Kennedy创建和编写。这是一个由Python驱动的开源工具,旨在围绕Social-Engineering进行渗透测试。
- 它已在包括Blackhat,DerbyCon,Defcon和ShmooCon在内的大型会议上进行了介绍。它下载量超过200万,是社交工程渗透测试的标准,并在安全社区中得到了大力支持。
- 它具有超过200万的下载量,目的是在社交工程类型的环境中利用先进的技术攻击。TrustedSec认为,社交工程是最难防范的攻击之一,现在已成为最普遍的攻击之一。自发布以来,该工具包已在许多书籍中得到推荐,其中包括12个月以来安全书籍销量排名第一,TrustedSec创始人以及Devon Kearns,Jim O'Gorman和其他人撰写的“ Metasploit:渗透测试员指南”。马蒂·阿哈罗尼(Mati Aharoni)。
Ettercap
刚开始只是作为一个网络嗅探器,但在开发过程中,它获得了越来越多的功能,在中间的攻击人方面,是一个强大而又灵活的工具。它支持很多种协议(即使是加密的),包括网络和主机产品特征分析,还有dns欺骗等等。
ettercap的sniffing工作方式划分为五种:
- IPBASED:在基于IP地址的sniffing方式下,ettercap将根据源IP-PORT和目的IP-PORT来捕获数据包;
- MACBASED:在基于MAC地址的方式下,ettercap将根据源MAC和目的MAC来捕获数据包(在捕获通过网关的数据包时,该方式很有用);
- ARPBASED:在基于Arp欺骗的方式下,ettercap利用Arp欺骗在交换局域网内监听两个主机之间的通信(全双工);
- SMARTARP:在SMARTARP方式下,ettercap利用Arp欺骗,监听交换网上某台主机与所有已知的其他主机(存在于主机表中的主机)之间的通信(全双工);
- PUBLICARP:在PUBLICARP 方式下,ettercap利用Arp欺骗,监听交换网上某台主机与所有其它主机之间的通信(半双工)。此方式以广播方式发送Arp响应,但是如果 ettercap已经拥有了完整的主机地址表(或在ettercap启动时已经对LAN上的主机进行了扫描),ettercap会自动选取 SMARTARP方式,而且Arp响应会发送给被监听主机之外的所有主机,以避免在Windows主机上出现IP地址冲突的消息。
ettercap参数及常用操作
-l 显示可用网卡接口设备
-i 选择接口
-t 协议选择,tcp/udp/all,默认为all
-p 不进行毒化攻击,用于嗅探本地数据包
-L 载入过滤器文件
-V text 将数据包以文本形式显示在屏幕上
-L filename 把所有的数据包保存下来(保存后的文件只能用etterlog显示)
二、实验内容
1.简单应用SET工具建立冒名网站
因为实验是将钓鱼软件挂入自己攻击机的http服务下,因此要将SET工具访问的默认端口改为80端口。使用sudo vi /etc/apache2/ports.conf使用vi打开文本进行修改。我这里默认就是80端口,无需更改。
在攻击机终端输入指令netstat -tupln |grep 80命令查看80端口是否被占用,如没有显示说明未被占用,如有则将进程关闭,使用指令kill+进程号来结束进程。
输入指令apachectl start开启Apache服务。
在终端输入setoolkit打开SET工具,出现如下选项
选择1,Social-Engineering Attacks即社会工程学攻击,后出现如下选项。选择2Website Attack Vectors(钓鱼网站攻击向量)。
出现如下选项,选择3,Credential Harvester Attack Method登录密码截取攻击。
选择2,Site Cloner进行网站克隆,输入Kali主机ip192.168.41.130。
根据要求,输入被克隆的网址,我这里选择的是蓝墨云班课的登陆界面:https://www.mosoteach.cn/web/index.php?c=passport。
克隆成功,接下来在靶机上登录Kali的ip:192.168.41.130,发现打开了蓝墨云班课登陆页面。输入账号和密码。
登录后会出现网页出错提示,回到Kali系统中看到已经收到了包含账号和密码的信息。
2.Ettercap dNS_spoof
在终端输入指令ifconfig eth0 promisc,将Kali的网卡模式改为混杂模式。
输入指令vi /etc/ettercap/etter.dns,来修改DNS缓存表。
添加如下内容:
www.mosoteach.cn A 192.168.196.130
www.cnblogs.com A 192.168.196.130
输入指令ettercap -G来启动ettercap,其中将Primary interface设置为eth0。然后点击√开始。
点击左上角的搜索框来对同网段内的活跃主机进行扫描,可以看到扫描到了网关以及主机,分别选中默认网关和其中的靶机IP,添加到目标一、二中。
完成上述步骤后,点击右上角的省略号,打开Plugins,选择Manage the plugins,后选择dns_spoof即DNS欺骗。
在靶机上ping之前加入的两个网址,在Ettercap上可以看到已经捕获到了两条记录。
3.结合应用两种技术,用DNS spoof引导特定访问到冒名网站
根据上述两个过程,首先按照第一个过程克隆蓝墨云的登录界面,然后根据第二个过程,进行DNS欺骗。
首先将Kali的IP与所要冒充的博客网页按照过程一关联在一起。
之后按照过程二设置DNS缓存表,在表内存入如下内容:
www.mosoteach.cn A 192.168.196.130
打开ettercap进行嗅探。在靶机内访问www.mosoteach.cn,输入的是蓝墨云班课登陆界面,但是打开的却是博客园。
同时可以看到Kali主机捕捉到了访问信息。
三、实验总结
1.问题回答
1)通常在什么场景下容易受到DNS spoof攻击
- 主机更容易受到与自己处于同一网段内的其他主机的DNS欺骗攻击。
- 在外界中连接诸如的无线热点,免费WiFi等公共网络也容易遭受DNS攻击。
2)在日常生活工作中如何防范以上两种攻击方法
首先针对冒名网址,应该验证其数字证书,通过证书的成功验证可以对网址的真实性进行认证。此外,面对一些需要登录的网址,为了防止其是钓鱼网站,应尽量避免他人提供的连接而手动输入正确的网址。
针对DNS欺骗攻击,因为DNS攻击的欺骗行为要以ARP欺骗为开端,因此可以将Gateway Router 的Ip Address和MAC Address静态绑定在一起,来防范ARP攻击欺骗,从而防范DNS欺骗。此外在访问网页时直接使用IP地址来进行访问也可以避免DNS欺骗攻击。定期查看ARP缓存,定期检查DNS缓存表。
2.实验体会
本次实验,借助社会工程工程包和Ettercap嗅探工具,我完成了钓鱼网站的设立以及DNS攻击两种攻击方法。感觉面对不设防的主机,入侵的方式多种多样。各种层出不穷的社会工程攻击方式也是在不停进行欺骗,稍不留心就会受骗,如钓鱼网站进行伪造,或者伪造DNS服务器,网关等。只要亲手做过才能学到,并且进行针对性的预防。