20181330 王茜《网络对抗技术》Exp7 网络欺诈防范

1.实践原理说明

1.1 实践目标

本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。

1.2 实践内容

1.2.1 简单应用SET工具建立冒名网站 （1分）

1.2.2 ettercap DNS spoof （1分）

1.2.3 结合应用两种技术，用DNS spoof引导特定访问到冒名网站。（2分）

1.2.4 请勿使用外部网站做实验

2.实践过程记录

2.1 简单应用SET工具建立冒名网站

Step1：将SET工具的访问端口改为80端口

我们要建立一个钓鱼网站，然后把他挂在本机的http服务下，要使用的端口是80端口。所以我们需要将SET工具的访问端口改为80端口。

我们输入命令： sudo vi /etc/apache2/ports.conf 修改Apache的端口文件，可以看到，此时set工具的访问端口已经是80端口了，所以就不需要修改了，如果不是80，我们要将端口号修改为80，如下图所示：

Step2：查看80端口是否被占用

输入命令 netstat -tupln |grep 80 

可以看到80端口并未被占用。

如果有进程占用了这个端口，可使用命令 kill+进程号 结束该进程

Step3：开启Apache服务

输入命令 apachectl -k start 开启Apache服务

Step4：启动set工具

在kali攻击机输入命令 setoolkit  

Step5：选择攻击方式

• 选择1，社会工程学攻击

• 选择2，钓鱼网站攻击向量

• 选择3，认证获取攻击

• 选择2，站点克隆

• 接着输入kali的ip地址

•  输入要被克隆的网站：这里我克隆的是我的博客首页

• 接下来在“Do you want to attempt to disable Apache?”的后面输入  y  

• 这时我们在靶机上输入kali的ip地址 192.168.117.128 就可以打开我们克隆网页了

• 在攻击机kali端我们已经可以看到靶机的访问信息了。如果用户在靶机上输入用户名密码登录，还可以获取输入的用户名和密码。

Step6：迷惑一下

• 一般不可能让受害者直接访问我们的ip地址，我们来使用短网址生成器伪装一下我们的网址。如下图所示：

• 接着我们在靶机上输入这个生成的网址
• 会先有一个几秒后跳转至目标页面的提示

• 几秒钟之后会直接跳转到我们克隆的页面

2.2 ettercap DNS spoof

Step1：将网卡设为混杂模式

• 我们需要输入命令 ifconfig eth0 promisc ，将网卡设为混杂模式，这样就能接收所有经过它的数据流

• 使用ifconfig eth0检查

Step2：修改DNS缓存表

输入命令 vi /etc/ettercap/etter.dns 对DNS缓存表进行修改。

在这里我添加了两条记录：

www.mosoteach.cn A 192.168.117.128
www.cnblogs.com  A 192.168.117.128
www.baidu.com    A 192.168.117.128

Step3：ettercap -G可视化界面

• 接着，我们输入命令 ettercap -G 启动ettercap可视化界面

• 我们选择好网卡为eth0 ，并且点击√开始监听

• 在右上角的工具栏中选择 Hosts——>Scan for hosts 扫描子网

• 点击 Hosts——>Hosts list ，查看存活主机

• 输入命令 ifconfig -a 查看kali网关
•  攻击机kali的网关为 192.168.117.2 ，靶机Windows7的IP为 192.168.117.128 
  将攻击机网关的IP添加到target1，将靶机IP添加到target2

• 点击右上角工具栏中的 Plugins——>Manage the plugins 

• 双击开启 dns_spoof ，也就是DNS欺骗的插件

• 点击左上角开始，此时处于嗅探模式下

• 在靶机中对刚刚在DNS缓存表中添加的网站执行ping命令，结果如下：

可以看到，这几个网站的ip地址都变成了kali攻击机的地址了。

•  kali端看到反馈信息如下：

 

2.3 结合应用两种技术，用DNS spoof引导特定访问到冒名网站

Step1：按照第一个实践的步骤克隆一个登录页面

• 这里我选择qq邮箱

• 当靶机访问qq邮箱这个网页时，实际上访问了kali攻击机服务器

Step2：使用ettercap DNS spoof技术进行DNS欺骗

使用SET技术通过kali攻击机的地址，跳入克隆后的冒名钓鱼网站，输入登录密码等信息，就会被盗取信息

这里我输入 www.baidu.com 弹出的确实qq邮箱的登陆 界面

• 这里很奇怪的是，当我输入百度的地址，是可以访问到qq邮箱，但是上面的网址也会变成qq邮箱的网址
• 重新尝试了几遍之后，我发现即使是输入kali的ip地址，也是这样，可以访问qq邮箱，但是网址也会变成邮箱的网址
• 也抓不到输入的信息
• 我猜想这可能是qq邮箱这个网站设置的某种保护措施吧

后来我重新用超星学习通的页面进行尝试，就可以正常显示网址和网页。

但是在kali端还是无法正常显示我输入的用户名和密码。

这应该也是一种保护。

最后尝试了知乎网站，就正常了。

3.基础问题回答

3.1 通常在什么场景下容易受到DNS spoof攻击

• 当我们在同一局域网下容易收到DNS spoof攻击
• 所以平时不要连接未知的网络，很危险

3.2 在日常生活工作中如何防范以上两攻击方法

• 首先就是对于来源不明的网络不要连接
• 访问网站的时候要注意网址信息是否正确
• 也可以直接访问网站服务器的ip
• 不在来源不明的网页上输入个人信息以及密码口令这种重要的信息
• 使用入侵检测系统
• 在平时选择网站时选择可靠的大网站，比如说当我使用qq邮箱进行欺骗时，即使我能欺骗成功，但是依然获取不到我输入的信息。

4.实践总结与体会

• 本次实验总体来说比较容易，但是还是走了一点弯路，浪费了很久的时间，但也不都是无用功，还是懂了很多知识的。
• 之前的课上我们学习过DNS攻击，但自己动手实践才发现居然这么容易！这个成本也太低了点吧……
• 但是实验的内容还是比较基础的，因为我要设置被攻击者的ip地址，黑客们应该有更厉害的手段吧，我们还要加强专业知识的学习才行。