网络欺诈防范

20175314 2020-4 《网络对抗技术》Exp7 网络欺诈防范 Week10

目录

• 20175314 2020-4 《网络对抗技术》Exp7 网络欺诈防范 Week10
  • 一、实践目标
    • 1、实践对象
    • 2、实践内容
  • 二、基础知识
    • 1、实践要求
    • 2、指令/参数
    • 3、预备知识
      • SET
      • Ettercap
  • 三、实践步骤
    • 1、简单应用SET工具建立冒名网站
    • 2、Ettercap dNS_spoof
    • 3、结合应用两种技术，用dNS_spoof引导特定访问到冒名网站
  • 四、实践报告
    • 1、基础问题回答
    • 2、实验收获与感想

一、实践目标

1、实践对象

• Kali Linux(攻击机)
• Windows 7(靶机)

2、实践内容

• 简单应用SET工具建立冒名网站
• Ettercap dNS_spoof
• 结合应用两种技术，用dNS_spoof引导特定访问到冒名网站

二、基础知识

1、实践要求

• 理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法

2、指令/参数

/etc/apache2/ports.conf   # Apache的端口文件
/etc/ettercap/etter.dns   # DNS缓存表

3、预备知识

SET

• Social-Engineer Toolkit，社会工程学工具包，由TrustedSec的创始人创建和编写，是一个开源的Python驱动工具，旨在围绕社交工程进行渗透测试，已经在包括Blackhat，DerbyCon，Defcon和ShmooCon在内的大型会议上提出过，拥有超过200万的下载量，旨在利用社会工程类型环境下的高级技术攻击。

Ettercap

• 具有嗅探实时连接、内容过滤等功能，支持插件，可以通过添加新的插件来扩展功能；
• 工作原理是将网络接口设置为混杂模式并通过ARP欺骗感染目标设备，由此该设备成为“中间人”并发动对受害者的各类攻击；
• 支持对许多协议(包括加密协议)的主动和被动分离，并具有网络和主机分析方面的多项功能，包含四种操作模式：
  • 基于IP的模式：根据IP源和目的地过滤数据包；
  • 基于MAC的模式：根据MAC地址过滤数据包，该模式能够对嗅探通过网关的连接起到作用；
  • 基于ARP的模式：利用ARP欺骗方式在两个主机之间的交换式局域网(全双工即支持双方同时发送信息)上进行嗅探；
  • 基于公共ARP的模式：利用ARP欺骗方式从一台受害者主机到其它所有主机的交换式局域网(全双工)上进行嗅探。
• 具体功能
  • 在已建立的连接中注入字符：将字符注入到服务器(模拟命令)或客户端(模拟回复)并同时保持实时连接；
  • SSH1支持：嗅探用户名和密码，甚至是SSH1连接的数据(能够以全双工方式嗅探SSH连接)；
  • HTTPS支持：嗅探HTTP SSL连接上的加密数据——通过Cisco路由器的GRE tunnel对远程流量进行嗅探，并对它进行”中间人攻击”；
  • 插件支持：使用Ettercap的API创建自定义插件；
  • 密码收集：可以收集以下协议的密码信息——TELNET、FTP、POP、IMAP、rlogin、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、Napster、IRC、RIP、BGP、SOCKS 5、IMAP 4、VNC、LDAP、NFS、SNMP、Half-Life、Quake 3MSN、YMSG；
  • 数据包过滤/丢弃：设置一个过滤器，用于在TCP或UDP有效内容中查找特定字符串(或十六进制序列)，并用自定义字符串/序列替换它，或丢弃整个数据包；
  • 操作系统指纹：可以提取受害主机及其网络适配器的操作系统信息；
  • 终止连接：从connections-list(连接列表)中终止所选择的连接；
  • 局域网的被动扫描：检索局域网上的主机信息、开放端口、可用服务的版本号、主机(网关、路由器或简单PC)的类型以及跃点数的预估距离；
  • 劫持DNS请求；
  • 主动或被动地在局域网中找到其它受感染者的功能。

三、实践步骤

1、简单应用SET工具建立冒名网站

• 查看Apache的端口文件确认HTTP对应端口号为80
  

• 查看80端口是否被占用，启动Apache服务和SET工具
  

• 社会工程学攻击-钓鱼网站攻击向量-登陆密码截取攻击-克隆网站
  
  
  
  

• 输入攻击机的IP地址和被克隆的网址
  

• 靶机的浏览器中输入攻击机的IP地址
  

• 输入登录名和密码点击登录
  

• 攻击机中获取登录名和密码
  

2、Ettercap dNS_spoof

• 修改DNS缓存表
  

• 将攻击机的网卡改为混杂模式后启动Ettercap
  

• 查看活跃主机和默认网关
  
  

• 默认网关添加到Target1，靶机的IP地址添加到Target2
  

• 选择DNS欺骗的插件dNS_spoof并开启
  

• 靶机PingDNS缓存表中添加的网站，解析地址都是攻击机的IP地址
  

• Ettercap捕获到两条访问记录
  

3、结合应用两种技术，用dNS_spoof引导特定访问到冒名网站

• 启动SET工具的网站克隆和Ettercap dNS_spoof
  

• 在靶机输入DNS缓存表中添加的网站
  

• 输入登录名和密码点击登录
  

• 回到攻击机查看获取的账号密码和Ettercap捕获到的访问记录
  
  

四、实践报告

1、基础问题回答

• (1)通常在什么场景下容易受到dNS_spoof攻击

  • 在同一局域网下(如公共场所的免费WiFi)容易受到dNS_spoof攻击，攻击者可以冒充域名服务器发送伪造的数据包，从而修改目标主机的DNS缓存表实现DNS欺骗；
  • 360杀毒全程在后台运行但是并没有成功拦截这样的钓鱼网站，所以我们在日常生活中要对来历不明的WiFi非常小心谨慎

• (2)在日常生活工作中如何防范以上两种攻击方法

  • 多注意当前URL与官方或同类产品的格式是否一致；
  • 使用最新的稳定版本的DNS服务器软件并及时安装补丁；
  • 不在高度敏感和有保密要求的系统上浏览网页，最好不使用DNS；
  • 如果有软件依赖于主机名来运行，尽量在设备主机文件里手动指定；
  • 正确部署和配置入侵检测系统，可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击；
  • 关闭DNS服务器的递归功能，DNS服务器利用缓存中的记录信息回答查询请求或是DNS服务器通过查询其他服务获得查询信息并将它发送给客户机，这种递归查询方式容易导致DNS欺骗。

2、实验收获与感想

• 本次实验过程比较顺利，虽然操作比较简单但是内容和意义十分重要，让我意识到局域网下的DNS欺骗是比较容易实现的，信息安全隐患时刻在身边并且未知威胁依然很多，今后还需要不断加强信息安全防范意识。