1.实验内容
1.1 简单应用SET工具建立冒名网站
由于要将钓鱼网站挂在本机的http服务下,所以需要将SET工具的访问端口改为默认的80端口。使用leafpad /etc/apache2/ports.conf命令修改Apache的端口文件,将端口改为80,如下图所示:.
在kali中使用netstat -tupln |grep 80命令查看80端口是否被占用。如果有,使用kill+进程号杀死该进程。如下图所示,无其他占用:
使用apachectl start开启Apache服务:
输入setoolkit打开SET工具:
选择1进行社会工程学攻击:
选择2即钓鱼网站攻击向量:
选择3,认证获取攻击,可以获取认证过程中的登录密码。
选择2进行克隆网站:
输入攻击机的IP地址
输入被克隆的url:
在靶机上,打开浏览器,输入kali攻击机的IP地址(192.168.1.160)。会呈现一个与真实网站一模一样的页面。输入用户名和密码,Kali攻击机会收到相应的数据。
让受害者访问攻击者的IP地址其实不太现实,我们可以对其进行伪装,用短网址生成器http://short.php5developer.com/给我们的网址包装一下,如果发送给受害者,防范意识薄弱的人可能就会点开,甚至输入自己的账号密码。
打开这个经过短网址生成器包装过的网址后,会跳入192.168.1.160.
1.2 ettercap DNS spoof
输入命令ifconfig eth0 promisc,将网卡设为混杂模式,使其能接收所有经过它的数据流。
输入命令ifconfig eth0,发现此时已经为混杂模式了。
使用命令leafpad /etc/ettercap/etter.dns,修改文件,加入以下的这条对应的域名和IP地址(攻击者kali的IP地址),进行DNS欺骗。
输入ettercap -G指令,开启ettercap,点击工具栏中的Sniff——>unified sniffing,然后在弹出的界面中选择eth0->ok,即监听eth0网卡:
在工具栏中的Hosts下先点击Scan for hosts扫描子网,再点击Hosts list查看存活主机
中间人监听,将网关和靶机设为监听的两端,将网关192.168.1.1设置为target1,靶机192.168.1.148设置为target2。
选择Plugins—>Manage the plugins,双击dns_spoof选择DNS欺骗的插件:
然后点击左上角的start选项开始嗅探,此时在靶机中用命令行ping www.besti.edu.cn会发现解析的地址是攻击机的IP地址:
1.3 结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
按照1.1的步骤,克隆一个网站,当访问kali攻击机服务器时,会跳入一个被克隆的冒名钓鱼网站。按照1.2的步骤进行DNS欺骗,当靶机访问某域名时,实际上访问了kali攻击机服务器,跳入克隆后的冒名钓鱼网站,输入登录密码等信息,就会被盗取信息。
结合前面的步骤的结果就是,靶机上输入域名可直接跳入钓鱼网站,输入用户名和密码可以被Kali截获。
2.基础问题回答
2.1 通常在什么场景下容易受到DNS spoof攻击
同一局域网下,以及各种公共网络。
2.2 在日常生活工作中如何防范以上两攻击方法
不要依赖DNS:在高度敏感和保密要求高的系统上浏览网页,最好不要使用DNS。其实最安全的方案是直接访问重要网站的IP地址,这样就不会受到ARP欺骗攻击和DNS欺骗攻击了。可以适当记录一下非常重要的网站或者涉及重要信息的网站的IP地址。
使用入侵检测系统:只要正确部署和配置,使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。
3.实验总结与体会
此次实验我们可以发现,制作钓鱼网站,盗取他人信息还是比较简单的。也很容易在不经意间就跳入了攻击者的DNS欺骗陷阱。通过这次实验,我切身体会到了,加强自我防范意识的重要性。要保持对自身信息的敏感度,不要轻易在异常网站上输入自己的信息,也不要轻易点击来路不明的网页链接。