《网络对抗技术》exp7 网络欺诈防范
一、实践目标
理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
二、实践目标
本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有
简单应用SET工具建立冒名网站
-
ettercap DNS spoof
-
结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
-
请勿使用外部网站做实验
三、实践过程
(1)简单应用SET工具建立冒名网站
- 查看我们的ip地址
- 由于要将钓鱼网站挂在本机的http服务下,所以需要将SET工具的访问端口改为默认的80端口。使用
sudo vi /etc/apache2/ports.conf
命令查看Apache的端口文件,如果端口不是80则改为80。
- 在kali中使用
netstat -tupln |grep 80
命令查看80端口是否被占用。如果有,使用kill+进程号
杀死该进程。 - 使用
systemctl start apache2
开启Apache服务
- 输入
setoolkit
打开SET工具 - 选择
1
:Social-Engineering Attacks即社会工程学攻击
Social-Engineering Attacks --社会工程学攻击
Penetration Testing (Fast-Track) --快速追踪测试
Third Party Modules --第三方模块
Update the Social-Engineer Toolkit --升级软件
Update SET configuration --升级配置
Help, Credits, and About --帮助
Exit the Social-Engineer Toolkit --退出
- 选择
2
:Website Attack Vectors即钓鱼网站攻击向量
Spear-Phishing Attack Vectors --鱼叉式网络钓鱼攻击载体
Website Attack Vectors --网站攻击向量
Infectious Media Generator --传染源
Create a Payload and Listener --创建负载和侦听器
Mass Mailer Attack --群发邮件攻击
Arduino-Based Attack Vector --基于Arduino的攻击向量
Wireless Access Point Attack Vector --无线接入点攻击向量
QRCode Generator Attack Vector --qrcode生成器攻击向量
Powershell Attack Vectors --powershell攻击向量
Third Party Modules --第三方模块
Return back to the main menu --返回主菜单
- 选择
3
:Credential Harvester Attack Method即登录密码截取攻击
Java Applet Attack Method – Java Applet
Metasploit Browser Exploit Method – Metasploit 浏览器渗透攻击方法
Credential Harvester Attack Method --认证获取攻击方法
Tabnabbing Attack Method --制表攻击方法
Web Jacking Attack Method --Web Jacking攻击方法
Multi-Attack Web Method --多攻击 web 方法
HTA Attack Method --HTA攻击方法
Return back to the main menu. --返回主菜单
- 选择
2
:Site Cloner进行克隆网站
Web Templates --web 模板
Site Cloner --网站克隆
Custom Import --自定义导入
- 输入攻击机IP:
192.168.42.129
,即Kali的IP
- 输入被克隆的url:https://www.cnblogs.com/regina1st/p/14703010.html,实验六的博客连接
- 在提示后输入键盘
enter
,提示“Do you want to attempt to disable Apache?”,选择y
- 在靶机上(为了方便,我直接使用的主机,确保安全推荐使用虚拟机)输入攻击机IP:
192.168.42.29
,按下回车后跳转到被克隆的网页
- 随着我们的访问,攻击机上显示信息
- 换一个有登陆的网址:www.zhihu.com,可以接收到我们输入的用户名和密码
(2)ettercap DNS spoof
- 使用
ifconfig eth0 promisc
将kali网卡改为混杂模式
- 输入命令
vi /etc/ettercap/etter.dns
对DNS缓存表进行修改,添加记录
www.baidu.com A 192.168.42.129 //ip为kali的ip地址
*.www.baidu.com A 192.168.42.129 //ip为kali的ip地址
-
使用
ettercap -G
开启ettercap
-
在弹出的界面中选择“eth0”,然后点击那个√,即监听eth0网卡
-
点击工具栏中的“Hosts”——>“Scan for hosts”扫描子网
-
点击工具栏中的“Hosts”——>“Hosts list”或者是左边第三个按钮,查看存活主机
-
输入
netstat -rn
查看网关
- 网关是192.168.42.2
,windows xp的ip是192.168.42.134
,Windows 7的ip是192.168.42.140
-
将网关IP
192.168.42.2
添加到target1,靶机IP192.168.42.134
添加到target2
-
点击工具栏中的“Plugins”—>“Manage the plugins”, 选择
dns_spoof
DNS欺骗的插件,双击开启
-
靶机上输入
ping baidu.com
-
返回Kali,查看窃听结果
-
使用命令
ettercap -Tq -i eth0 -P dns_spoof -M arp
,直接开始监听
(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
- 综合使用以上两种技术,首先按照任务一的步骤克隆一个登录页面,在通过任务二实施DNS欺骗,此时在靶机输入网址www.cnblogs.com可以发现成功访问我们的冒名网站
- 重复任务一,将www.baidu.com登陆网址与kali的IP:
192.168.42.129
关联
- 设置DNS表,加入www.cnblogs.com与其对应的IP为
192.168.42.129
,打开ettercap
,按任务二操作直至开始嗅探
- 靶机打开www.cnblogs.com,显示百度的网页
- 返回Kali,查看窃听结果
- 在百度的搜索栏中,随便输入信息,在Kali中能抓到数据
基础问题回答
通常在什么场景下容易受到DNS spoof攻击?
- 在实验中,我们可以看到是在同一局域网下(使用同一网关),各种公关网络。
在日常生活工作中如何防范以上两攻击方法?
- 注意尽可能不要连接公关WiFi,黑客利用虚假公共WiFi热点钓鱼成本最低、危害最大,容易形成黑色产业链,有些商家为了图省事连密码都不设置。这意味着通过连接这个WiFi传输的数据基本是透明的,很容易被同网的黑客窃取。
- 不访问来路不明的url,更不能在这些页面上随意输入用户名和密码(特别是银行卡密码)
- 在访问网站时,仔细辨别输入的网址,看看是否有攻击者制作的钓鱼网站的痕迹。注意DNS劫持(域名劫持)则是在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,导致用户对特定的网络不能反应或访问的是假网址
- 当访问具有严格保密信息的站点时,直接使用IP地址进行访问,这样就无需通过DNS解析,进而避免DNS欺骗攻击可能造成的危害。
- 正确部署和配置入侵检测系统IDS。
- 使用最新版本、最稳定的DNS服务器软件,并及时打补丁。
- 优化DNS Server的安全配置项目,合理限定DNS Server进行响应的IP地址区间,关闭DNS Server的递归查询项目等。
实践总结与体会
在本次实验中,我遇到最大的问题就是在第三部分,在ettercap中一定要扫描主机,否则可能会一直显示只有一台虚拟机,无主机、无网关等等一系列信息。在第一第二步进行后,我在靶机进行操作,但是访问的依旧不是钓鱼网站,百度仍是百度,博客园仍是博客园,多次尝试未果,僵持两个小时后,突然好了。
经过本次实验,我们学习了如何利用工具来克隆网页,制作钓鱼网站,抓获用户名和密码,更加清楚地认识到需要注意网络安全,不随意访问网址,尤其是来路不明的网站,可能在不经意间就泄露了我们的信息和密码。