20165309 《网络对抗技术》实验七:网络欺诈防范
1.基础问题回答
(1)通常在什么场景下容易受到DNS spoof攻击
- 在使用公共网络时,和其他主机在同一网段能够ping通的情况下容易受此类攻击。(这告诉我们一个道理:不要随便蹭外面的WIFI了!!)
(2)在日常生活工作中如何防范以上两攻击方法
- 对于第一种,我觉得打开网页后,不要看到熟悉的页面就掉以轻心,而是应该仔细观察网页的地址,像一些高端的,都会用和原网页很相似的地址来欺骗我们,这时我们更应该擦亮双眼,谨防受骗。
- 对于第二种,它主要利用的是我们的DNS缓存表,所以我们需要定期清理DNS缓存,比如chrome设置里面就有不使用DNS缓存来打开网页,以杜绝DNS欺骗,可以参考https://jingyan.baidu.com/article/295430f1fbf89f0c7e0050a9.html。
2.实验总结与体会
(1)遇到的问题与解决
- 本次实验中难得没有遇到什么大问题,主要就是第一部分中的url的选择与设定上一个个尝试用了比较久的时间...
- 还有就是,要注意第二部分中的网关IP需要在靶机cmd中输入
ipconfig确认好,虚拟机和自己电脑win10主机的可能会不同,别把target1选错了。
(2)实验感受
我又一次感受到了网络对抗实验的有趣,攻击防不胜防,平时上网真的要注意安全。
3.实践过程记录
(1)简单应用SET工具建立冒名网站
- 使用
lsof -i:80命令查看80端口的使用情况,此时未被占用(发现占用时,可用kill杀死进程,再对80端口进行确认):
vi /etc/apache2/ports.conf后修改监听端口配置文件,将其修改为监听80端口(其实本来也就是80端口):
- 使用
service apache2 start开启apache服务,新开一个终端,输入setoolkit开启SET工具,y同意服务。 - 在目录中依次选择
1→2→3→2:- 社会工程学攻击
- 网页攻击
- 凭证收割攻击
- 克隆网站
- 社会工程学攻击
- 接着输入攻击机kali的IP地址;
- 按照提示输入要克隆的url,这里我们用学校尔雅的网站。看到如下提示表示钓鱼网站搭建成功:
- 在kali里输入127.0.0.1,成功进入钓鱼网站版尔雅登录页面:
- 试了一下kali的IP,结果也是一样的:
- 终端上也显示了连接信息
- 但是克隆的钓鱼网站不能直接是IP地址,我们需要对网页域名进行伪装,以诱骗收信人的点击。所以登入http://short.php5developer.com/,输入kali的IP,得到伪装地址:
- 复制该网址,在靶机中的浏览器打开,先出现如下的界面,然后跳转到一个假的尔雅,可以截获登录的输入信息:
(2)ettercap DNS spoof
DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。
原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
- 使用命令
ifconfig eth0 promisc将kali网卡改为混杂模式; - 使用命令
vi /etc/ettercap/etter.dns对DNS缓存表进行修改,可以添加几条对网站和IP的DNS记录,IP地址填kali的IP:
- 使用命令
ettercap -G启动ettercap,点击工具栏中的Sniff→unified sniffing,后在弹出的界面中选择eth0→确定监听eth0网卡:
- 在工具栏中的
Hosts下先点击Scan for hosts扫描子网,再点击Hosts list查看存活主机,将kali网关的IP添加到target1,靶机IP添加到target2:
- 选择
Plugins→Manage the plugins,在众多插件中选择DNS欺骗的插件,然后点击左上角的start选项开始嗅探:
- 此时在靶机中用命令行
ping www.qq.com会发现解析的地址是我们kali的IP地址:
- ettercap上也成功捕获了访问记录:
(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
- 使用第一种技术先克隆一个登录页面,然后再通过第二个技术实施DNS欺骗。
- 此时我们在靶机的浏览器上输入
www.cnblogs.com,可以看到进入了我们克隆的尔雅网址:
- 在靶机中进行的操作,同样可以在kali上成功截获:
