2019-2020-2 20175202葛旭阳《网络对抗技术》 Exp7 网络欺诈防范
一、实验任务
本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有
1.简单应用SET工具建立冒名网站;
2.ettercap DNS spoof;
3.结合应用两种技术,用DNS spoof引导特定访问到冒名网站;
4.请勿使用外部网站做实验。
5.基础问题回答。
二、实验原理
1.SET工具:
①SET是一个开源的、Python驱动的社会工程学渗透测试工具。利用人们的好奇心、信任、贪婪及一些愚蠢的错误,攻击人们自身存在的弱点。使用SET可以传递攻击载荷到目标系统,收集目标系统数据,创建持久后门,进行中间人攻击等。
2.ettercap:
①ettercap是一款现有流行的网络抓包软件,他利用计算机在局域网内进行通信的ARP协议的缺陷进行攻击,在目标与服务器之间充当中间人,嗅探两者之间的数据流量,从中窃取用户的数据资料。
②ettercap是一个基于ARP地址欺骗方式的网络嗅探工具。有两种运行方式,UNIFIED和BRIDGED。 它具有动态连接嗅探、动态内容过滤和许多其他有趣的技巧。它支持对许多协议的主动和被动分析,并包含许多用于网络和主机分析的特性。主要适用于交换局域网络,借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输。
三、实验步骤
【任务一:简单应用SET工具建立冒名网站】
1.使用sudo vim /etc/apache2/ports.conf命令修改Apache的端口文件,查看端口是否为80,如果不是修改端口为80。
2.在kali中使用sudo netstat -tupln |grep 80命令查看80端口是否被占用;
3.由上图我们发现,被1804号进程占用,我们使用命令sudo kill 1804命令杀死该进程;
4.使用sudo apachectl start命令开启Apache服务;
- 输入
sudo setoolkit命令打开SET工具;
6.我们输入1 :Social-Engineering Attacks即选择社会工程学攻击;
7.我们输入2 :Website Attack Vectors即选择钓鱼网站攻击向量;
8.我们输入3 :Credential Harvester Attack Method即选择登录密码截取攻击;
9.我们输入2 :Site Cloner即进行克隆网站;
10.我们输入攻击机的IP:192.168.3.66攻击机IP,命令行中已有提示;
11.我们输入被克隆的url,即https://gitee.com/login(码云登陆界面),并在提示“Do you want to attempt to disable Apache?”后,输入y;
12.靶机浏览器中输入攻击机IP(192.168.3.66),即可看到我们克隆的网页https://gitee.com/login(码云登陆界面);
13.同时,可看到攻击机服务器这边收到提示;
14.在靶机的登录界面输入用户名和密码,攻击机可以全部获取(输入错误的也可以,在攻击机的服务器中是以明文显示的);
15.利用短网址生成器可以将待克隆的网址伪造成一串短网址,如下;
【任务二:ettercap DNS spoof】
1.首先使用ifconfig eth0 promisc将kali网卡改为混杂模式;
2.输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改,如图所示,可以添加几条对网站和IP的DNS记录,图中的IP地址是我的攻击机kali主机的IP:
www.mosoteach.cn A 192.168.3.66
www.cnblogs.com A 192.168.3.66
3.使用ettercap -G开启Ettercap;
4.点击工具栏中的“Sniff”——>“unified sniffing”;
5.在弹出的界面中选择“eth0”——>“ok”,即监听eth0网卡;
6.点击工具栏中的“Hosts”——>“Scan for hosts”扫描子网;
7.点击工具栏中的“Hosts”——>“Hosts list”查看存活主机;
8.将kali网关的IP:192.168.3.66添加到target1,靶机IP:192.168.3.14添加到target2:
9.点击工具栏中的“Plugins”——>“Manage the plugins”;
10.选择“dns_spoof”即DNS欺骗的插件,双击后下方提示如下:
11.然后点击左上角的“start”——>“Start sniffing”选项开始嗅探;
12.靶机上输入ping www.mosoteach.cn或ping www.cnblogs.com,可以在Kali端看到反馈信息:
【任务三:结合应用两种技术,用DNS spoof引导特定访问到冒名网站】
1.综合使用以上两种技术,首先按照任务一的步骤克隆一个登录页面,在通过任务二实施DNS欺骗,此时在靶机输入网址www.mosoteach.cn可以发现成功访问我们的冒名网站。
2.重复任务一,将码云登陆网址与kali的IP:192.168.3.66关联。
3.设置DNS表,加入www.mosoteach.cn与其对应的IP为192.168.3.66,打开ettercap,按任务二操作直至开始嗅探(实际上,只要我们在任务二中添加过的网址都能够打开码云的登陆网址)。
4.靶机打开www.mosoteach.cn,显示码云登陆页面。
5.输入任意用户名和密码后,在kali中也可看到连接的信息和用户名、密码;
四、实验过程中遇到的问题
1.问题:任务一中全部设置成功后,在靶机中打开克隆的网址,显示无法找到网页,如下图;
解决:尝试了多个软件的网页版的登陆网址都不行,后来尝试把网络设置成桥接,然后选择了码云的登陆界面,结果终于成功了。
2.问题:任务二中,对DNS缓存表进行修改时,修改后要保存时,提示无法打开并写入文件;
解决:首先进入管理员权限,再做修改,成功。
3.问题:在任务二中,一开始ping www.mosoteach.cn时,回连的地址一直不是我的Kali的IP;
解决:重新设置并等待了几分钟,重新尝试ping,成功解决问题。
五、问题的回答
1.通常在什么场景下容易受到DNS spoof攻击?
回答:通常在同一局域网下、各种公共网络中容易受到DNS spoof攻击。
2.在日常生活工作中如何防范以上两攻击方法?
回答:①不随便使用不能保障安全的公共网络;
②使用最新版本的DNS服务器软件,并及时安装补丁;
③打开常用网页时,仔细检查网址是否被篡改;
④不连接陌生且不设密的公共WiFi网络;
⑤使用入侵检测系统:只要正确部署和配置,使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。
六、实验心得与体会
本次实验的内容为网络欺诈防范,实验整体难度不大,按照步骤一步步完成就可以了。就是在克隆网站时选择网站是个大问题,本以为随便找一个登陆界面就可以作为克隆目标。但是发现总是无法找到网页,一些其他同学可以的网页,我还是不行,不过最后幸好码云的登陆界面让我成功实现了这次实验的目的。通过本次实验,我学会了如何利用工具来克隆网页,制作钓鱼网站,并可以将其伪造成一个相似的网站来实现欺骗,以此获取用户的账号密码等信息。这也提醒我在日常上网的过程中,要尽量杜绝公共的WIFI,远离一些不知道是否安全的网页,从而尽可能防止DNS欺骗的发生。