20145236《网络对抗》Exp7 网络欺诈技术防范

20145236《网络对抗》Exp7 网络欺诈技术防范

一、基础问题回答

1. 通常在什么场景下容易受到DNS spoof攻击？
   • 随便连接没有设置密码的wifi的情况下比较容易受攻击，因为这样就会连入局域网和该局域网中的各个主机都处于同一网段下了。
2. 在日常生活工作中如何防范以上两攻击方法？
   • URL攻击的防范主要就是打开网页的时候注意看其ip地址，事先可以通过gid命令和nslookup命令查看网站正确的ip地址，如果输入网站显示访问的ip地址对不上就证明已经被攻击了。
   • DNS欺骗攻击的防范主要就是注意不要乱连接没有设置密码的公共WIFI。
   • 使用入侵检测系统进行防范。

二、实践过程记录

（一）URL攻击

kali IP：192.168.85.129

Step1：设置SET访问端口

• 由于要将钓鱼网站挂在本机的http服务下，所以需要将SET工具的访问端口改为默认的80端口
• 通过指令：sudo vi /etc/apache2/ports.conf更改默认设置
  • 

Step2：关闭80端口的应用进程

• 为了让apache能接替80端口的使用，必须先关闭默认http的80端口的进程
• 查询80端口进程pid：netstat -tupln | grep 80，我这里查看到的是883
• 杀掉之前占用80端口的进程：kill 883
• 可以再次执行端口查看的指令，确认没有进程占用
• 打开apache服务：service apache2 start

Step3：打开set（刚开始用的是自己的KALI虚拟机后来运行apache的时候好像不太对就换了老师给的KALI，IP：192.168.85.136）

• 执行指令打开set：setoolkit
• 选择1：社会工程学攻击
  • 
• 选择2：网页攻击媒介
  • 
• 选择3：钓鱼网站攻击
  • 
• 选择2：克隆网站Site clone
  • 
• 根据以下英文提示，输入攻击机IP：192.168.85.136
  • 
• 接下来输入要搭建网址的URL：mail.qq.com
  • 
• 看到如下提示表示钓鱼网站搭建成功，可以在kali攻击机下输入网址：127.0.0.1查看钓鱼网站是否设置成功，如果没有，考虑重启SET工具，再次观察即可

Step4：构建一个域名

• 如果发送一个IP供人点击，可能性较小，我们可以伪装成一个较为正常的域名
• http://short.php5developer.com网站可以帮我们做到这样一点，在如下文本框中输入需要伪装的IP地址，会自动生成一个域名
  • 
• 测试：在浏览器中输入地址：http://short.php5developer.com/dqo
  • 会发现有一个跳转提示，等待10秒后会接入Kali的IP地址
    
  • 能正常显示自己搭建的钓鱼网站，表示初步成功

Step5：获取用户名密码

• 通过靶机Win7，访问域名
• 靶机在假的网站上登陆之后会在本地的/var/www/html文件夹下生成截获的用户名和密码
  • 
• 由于QQ邮箱并不是直接通过form表单来提交数据，而是在登录页面中又嵌套了另一个真正的登录页面，而那个界面才是真正用来向服务器提交数据的，简单来说就是QQ邮箱的安全防护做的很到位，所以并没有截获成功。后来又试了淘宝之类的网站都没有成功。
• 试过mail.163.com、mail.qq.com、www.douyu.com、dzjw.besti.edu.cn以及www.cnblog.com都没有成功，目前仍然在寻找可以攻击的登录网站。

DNS欺骗攻击与SET结合

Kali IP：192.168.85.136 WinXP IP：192.168.85.128

Step1：更改DNS缓存

• 主机和kali之间可以ping通
• 输入命令：ifconfig eth0 promisc改kali网卡为混杂模式
• 对ettercap的dns文件进行编辑。输入命令vi /etc/ettercap/etter.dns，在本地构造一个假的DNS缓存表，写入新的DNS缓存：www.baidu.com A 192.168.85.129
  • 

Step2：开启调试ettercap

• 输入ettercap -G，开启ettercap，会自动弹出来一个ettercap的可视化界面
• 点击工具栏中的Sniff—>unified sniffing
• 之后会弹出界面，选择eth0->ok
  • 
• 在工具栏中的Hosts下点击扫描子网，并查看存活主机，先后执行指令：
  • Scan for hosts
  • Hosts list
• 将网关右键添加到target1，将靶机右键添加到target2
  • 
• 选择Plugins—>Manage the plugins，在众多plugins中选择DNS欺骗
  • 
• 然后点击左上角star选项，开始嗅探
• 提示：此时不出差错，即可在靶机上通过www.baidu.com域名访问到kali的默认网页了

Step5：成功

• 一开始靶机ping选择进行攻击的网站www.baidu.com，可以看到服务器ip地址
  • 
• 再次ping的时候，kali上可以看见靶机回连到kali的记录
  • 
• 再次ping网站，可以看见网站服务器ip地址变成了kali的ip
  • 
• 在主机电脑上输入www.baidu.com已经跳转到我之前设置的克隆页面了
  • 

三、实验总结与体会

我觉得这个实验比较简单，而且还蛮有趣的。对于一个网站，只要通过一个程序和简单的指令就可以将它克隆下来，并且通过地址伪装的方法骗取他人的信任，有可能自己的手机、邮箱、密码等信息就会被他人获取。同样的，就算是熟悉的人发来的网址也不能够完全相信，很有可能钓鱼网站就是这样获取了他的账号密码，借助他的账号来传播钓鱼网站。微信朋友圈里微商发布的链接不要随意点击，陌生场合的免费WiFi也不要轻易登录注册。