2018-2019-2 网络对抗技术 20165322 Exp7 网络欺诈防范

2018-2019-2 网络对抗技术 20165322 Exp7 网络欺诈防范

目录

实验原理

实验内容与步骤

• 简单应用SET工具建立冒名网站
• ettercap DNS spoof
• 结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

实验过程中遇到的问题

基础问题回答

实验总结与体会

实验原理

• DNS欺骗
  • 原理：首先欺骗者向目标机器发送构造好的ARP应答数据包，ARP欺骗成功后，嗅探到对方发出的DNS请求数据包，分析数据包取得ID和端口号后，向目标发送自己构造好的一个DNS返回包，对方收到DNS应答包后，发现ID和端口号全部正确，即把返回数据包中的域名和对应的IP地址保存进DNS缓存表中，而后来的当真实的DNS应答包返回时则被丢弃。
• SET工具
  • 社会工程学工具包（SET）是一个开源的、Python驱动的社会工程学渗透测试工具。这套工具包由David Kenned设计，而且已经成为业界部署实施社会工程学攻击的标准。
  • 使用SET可以传递攻击载荷到目标系统，收集目标系统数据，创建持久后门，进行中间人攻击等。
  • 使用方法：
    • 启动SET：setoolkit
    • 启动后里面有提示，根据需要选择即可
    • SET工具默认安装在/usr/share/set目录下
• EtterCap

  • EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具。它具有动态连接嗅探、动态内容过滤和许多其他有趣的技巧。它支持对许多协议的主动和被动分析，并包含许多用于网络和主机分析的特性。

  • kali 2.0内置有ettercap，可用ettercap -v查看版本信息

  • 图形化界面：ettercap -G

  • 选择模式:下拉sniff选项。
    

  • 网卡选择默认eth0，点击确认可开始嗅探

  • 菜单处Hosts-Hosts List可查看嗅探到的主机ip地址、mac地址

  • 菜单处Mitm可选择攻击方式，包括arp 欺骗、DHCP洪泛攻击等

  • 菜单处view中可查看嗅探到的通信信息

返回目录

实验内容与步骤

（一）简单应用SET工具建立冒名网站

简单应用SET工具建立冒名网站

• 使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件，将端口改为http对应的80号端口
  

• 可以使用netstat -tupln |grep 80查看80端口是否被占用。

  • 如果没有被占用，则不会显示任何值。
  • 如果被占用了，可以使用kill+进程号杀死该进程,或使用kill -s 9 进程号强制杀死进程

• 开启Apache服务：systemctl start apache2

• 开启SET工具：setoolkit

• 选择1：Social-Engineering Attacks（社会工程学攻击）

• 选择2：Website Attack Vectors（钓鱼网站攻击向量）
  

• 选择3：:Credential Harvester Attack Method（即登录密码截取攻击）

• 选择2：Site Cloner克隆网站

• 输入攻击机kali的IP地址：192.168.132.141

• 输入一个有需要登陆的urlhttp://www.besti.edu.cn/（咱们学校官网）

• 这里会有一个提示，不用管他，按一下回车即可
  

• 提示“Do you want to attempt to disable Apache?”，选择y
  

• 在靶机上（我用的Win 10）输入攻击机IP：192.168.132.141，按下回车后跳转到被克隆的网页：

• 不知道为啥！！只有网页代码，，我佛了，试了一下其他网站页面是ok的，应该是学校网页的问题？
  

• 我们可以在攻击机上看到如下提示：
  

• 如果这是一个需要用户登录的网址又会怎么样呢？

• Apache服务只能一次性使用。因此退出以后重启Apache、SET工具，按照上述步骤重新设置一遍，新的URL设置成http://192.168.200.83/cas/login（咱们学校教务网登录界面）

• 在靶机输入攻击者的ip地址。进入了登录界面。在里面输入自己的登录信息——即使是错误的也会被记录下来。

• 在kali上我们可以清楚的看到对面的连接和登录信息了
  

• 对https的登录网站又如何呢？

• 为了进一步伪装攻击机IP，我们可以利用网址缩短网站，将攻击机IP输入，然后生成一个网址。这样靶机访问该网址时和直接输入IP的效果是一样的。

返回目录

---

（二）ettercap DNS spoof

• 使用指令ifconfig eth0 promisc将kali网卡改为混杂模式

• 输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改

• 在61行添加两行代码

  www.mosoteach.cn A 192.168.132.141(kali IP)
  www.cnblogs.com A 192.168.132.141
  

  

• 使用ettercap -G开启ettercap图形化界面

• 点击工具栏中的Sniff——>unified sniffing

• 在弹出的界面中选择eth0——>ok，即监听eth0网卡
  

• 点击工具栏中的Hosts——>Scan for hosts扫描子网
  

• 点击工具栏中的Hosts——>Hosts list查看存活主机
  

• 将网关IP添加到target1，靶机IP添加到target2
  

• 点击工具栏中的Plugins——>Manage the plugins

• 双击选择dns_spoof即DNS欺骗的插件

• 然后点击左上角的start——>Start sniffing选项开始嗅探

• 靶机上输入ping www.mosoteach.cn或ping www.cnblogs.com，可以在Kali端看到反馈信息。这里有点奇怪，正常来说捕捉到的应该是kali的IP才是正确的，，我也不知道为什么显示成这样了，可能是抽了？或者这个攻击手段并不是100%的成功率吧
  

• 相应的，靶机下显示的ping回应都是kali主机的IP，这里倒是正确了
  

返回目录

（三）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

• 实验二的ettercap不要关，继续对靶机进行DNS欺骗

• 首先按照实验一的步骤克隆教务处网站，保证能够跳转成功

• 这时候测试一下实验二里靶机ping www.mosoteach.cn,能够成功ping到kali上。即可以开始任务。

• 打开靶机浏览器，输入www.mosoteach.cn，应该能够跳转到教务网的网页上，效果如下：
  

• 在这个网址上输入登录信息
  

-可以看到kali实验一的界面成功显示了靶机输入的用户信息。

返回目录

实验过程中遇到的问题

• 实验任务1，打开SET工具并配置好ip和网址后。偶尔会出现不弹出提示Do you want to attempt to disable Apache?的情况,此后靶机登录信息无法监测到。我检查了端口已关闭，Apache之前也已经开启。问题出在哪里我也没找出来。解决办法就是重启电脑，找个网快的地方，操作慢一点，然后看脸（猜测是因为网速问题）
• 做实验任务2的时候修改了缓存表以后……依然会出bug，靶机win7上显示的kali的IP地址，但是kali上显示的却是正常网络的IP，很迷。
• 任务3就更不用说啦，必须要前两个任务都不出bug才能成功，试了10多次感觉都要吐血了orz

返回目录

基础问题回答

通常在什么场景下容易受到DNS spoof攻击

• 通常在连接不受信任的网络（例如咖啡厅的wifi）容易遭到攻击
• 在同一局域网下比较容易受到DNS spoof攻击，攻击者可以冒充域名服务器，来发送伪造的数据包，从而修改目标主机的DNS缓存表，达到DNS欺骗的目的。

在日常生活工作中如何防范以上两攻击方法

• 使用最新版本的DNS服务器软件，并及时安装补丁；
• 不能乱连wifi,给攻击者可乘之机
• 防范ARP欺骗

返回目录

实验总结与体会

这次的实验原理和操作都挺简单的。主要就是利用SET工具建立冒名网站（使得冒名网站和攻击者在同一个网关下）以后，再利用DNS 欺骗，修改了DNS缓存表，使得与攻击者在同一网关下的靶机在搜索真正的网站域名时，首先寻找到了攻击者的冒名网站，从而进入了攻击者的陷阱。我们在外面连接免费wifi的时候很容易就和坏人处在同一网关下，这样被欺骗获取登录信息的可能性就很大了。因此不管从防范的意识还是电脑的防护措施方面来说，我们都要加强对自己个人信息的保护。