20145335郝昊《网络攻防》Exp7 网络欺诈技术防范

20145335郝昊《网络攻防》Exp7 网络欺诈技术防范

实验内容

• 本次实践本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。

• 简单应用SET工具建立冒名网站。

• 利用软件ettercap DNS spoof，实现dns欺骗。

实验步骤

URL攻击实验

• 首先确认kali主机和靶机在同一网段，且能相互ping通。

• 为了使得apache开启后，靶机通过IP地址能直接访问到网页，apache需要修改监听端口。使用命令netstat -tupln |grep 80查看80端口是否被使用

• 根据上图可以看出正在被使用，进程代号为627，之后使用命令 kill 627 结束该进程，并再次使用命令netstat -tupln |grep 80确认是否依然被占用。

• 之后修改apache配置文件中的监听端口为80输入命令 sudo vi /etc/apache2/ports.conf

• 之后将Listen端口修改为80（原来应该是8080），输入命令:wq保存并推出vi。

• 之后在终端键入命令service apache2 start打开apache2软件

• 新打开一个终端，键入命令setoolkit

• 之后选择1 Social-Engineering Attacks社会工程学

• 选择2Website Attack Vetors

• 选择3Credential Harvester Attack Mrthod

• 选择2Site Cloner

• 之后输入本机ip地址既本机kali地址172.20.10.11 和需要克隆的网站，选择的QQ邮箱mail.qq.com

• 克隆好的钓鱼网站不能直接发送至靶机，需要对域名进行伪装，在kali下进入网址：伪装网站

• 之后将克隆好的网址记下来并用靶机进行打开。可以看到在打开的时候会显示kali的ip

• 等待10s后网页会自动跳转到qq邮箱的登陆界面。输入相关信息后，在kali下/var/www/html文件下会捕捉到信息。

dns欺骗攻击

• 首先需要确认kali主机和windows靶机能相互ping 通

• 将kali下网卡改为混杂模式。使用命令ifconfig eth0 promisc

• 对ettercap的dns文件进行编辑，键入命令 vi /etc/ettercap/etter.dns对这个目录进行修改（修改方式如下图，注意：地址需要改为kali的ip地址)

• 对windows靶机需要在cmd中键入命令ipconfig需要记住ip地址和网关地址如下图，靶机ip地址为172.20.10.14 网关地址为172.20.10.1

• 此时使用命令ping www.baidu.com可以查看一下windows是否可以真确的获得来自百度的信息。

• 之后在kali下键入命令ettercap -G打开etter图形化界面

• 之后在软件中点击sniff-unifled sniffing...
  

• 下面弹出来的ettercap input窗口选择eth0并单击ok

• 之后利用这个软件扫描活动主机点击：Hosts->Scan for hosts扫描结束后点击Hosts List查看活动主机。

• 上图172.20.10.14为靶机ip地址，172.20.10.1为靶机网关（之前查看过的）

-之后需要确定攻击目标：将靶机网关选中添加到TARGET1 将靶机ip地址选中添加到TARGET2

• 之后需要选择dns欺骗软件：Pligins->Manage the plugins选择dns_spoof（因为使用的是dns欺骗攻击）

• 之后单机软件左上角Start开始sniffing。

• 在windows下键入命令ping www.baidu.com可以看到结果是连接到了kali的ip地址上与之前的ping百度的结果不一样。kali中的软件也有记录。

实验补充

• 因为之前的实验并没有达到目标要求，也许是攻击的qq邮箱有防范百度主网页又不能抓出账号和密码，导致实验并没有完全成功，现在对以上的两个实验进行补充，这次选用的是模拟google邮箱。

url

• 之前的操作都一样，查看端口80是否被占用、如有占用，修改并杀死；修改etter.dns文件中的监听端口号；进入并设置apache2。

• 不同的是，在设置时候最后一步不要选择2 Site clone,选择1 web Templates 之后会输入ip地址，这里依然输入本机kali地址，之后选择google即可。
  

• 之后可以先利用kali访问一下地址，即172.20.10.11可以看出网页会跳转到google登陆界面。可以输入信息并登录。

• 之后在伪装页面采用同样的方式（根据实验发现好像同一ip地址伪装出来的地址是一样的！）

• 使用靶机登陆伪装地址，效果如下，登陆后，kali下可以抓到账号和密码，实验成功。

dns

• 同样的先前的操作与上面相同，需要注意的是，在做dns欺骗的时候apache2软件不要关闭，这样靶机在登陆的时候会跳转到之前的伪装页面。

• 确认下靶机的ip地址和网关

• 之后的操作是同上面的一样，设置网卡为混杂模式；修改dns文件；打开并配置ettercap软件。

• 之后点击start sniffing此时切换到靶机，在命令行下ping baidu.com 可以发现ip地址变为kali的地址，之后用靶机访问www.baidu.com会跳转到伪装登陆界面，实验成功。

实验问答

• 通常在什么场景下容易受到dns spoof攻击？

  答：连接在wifi的情况下很容易受到攻击，比如公共图书馆、咖啡馆之类的有wifi的容易受到攻击，这样处于同一网段下就很容易被攻击了，这次做实验的时候是用手机热点开的无线网玩完成的，后来在用ettercap软件扫描主机时候扫到了我女朋友连接我热点的电脑ip地址哈哈哈，所以有无限网的地方还是容易受到攻击的。

• 在日常生活中如何防范以上的两种攻击？

  答：我觉得首先既然和无限网有关那么在一些公共场合不要连接一些不知道的wifi或者在连接的时候对于一些应用不能给予很高的权限。

  其次我觉得对于电脑需要实时关注防火墙的动态，毕竟防火墙是隔离外网和内网和重要的一道屏障。做这次实验时候防火也不知道是不是防火墙的原因，但是关了防火墙就很顺利的做出来了。

实验中遇到的问题和心得体会

这次实验总的来说感觉实验步骤并不繁琐好几次没成功感觉所有的命令都背下来了，url第一个实验，不仅仅剧局限于邮箱类似的网站可以多尝试其他的可能邮箱之所以抓不到账号信息和密码是因为代码问题，还有再就是做第一个实验时候失败了时候重新做的时候一定要再次检查80端口有没有被新的进程占用，我在做实验的时候失败了好几次，后来发现失败了一次之后端口就被占用了，还是需要在kill一次才可以。还有在填写kaliip地址一定要看清楚有一次居然粗心填成了广播地址。第二个实验一定要掌握修改dns文件的方法，修改对了以后不仅仅可以欺骗百度之类的网站，其他的也可以是实现。还有第二个实验在使用ettercap软件的时候注意攻击的靶机ip和靶机网关不要搞混了，我在做实验的时候两台机器不能ping通自然实验也没有做出来，后来关了靶机的防火墙，也ping通了实验也成功了，不知道是不是这个原因，但是在做实验前一定要确认好准备条件，并不是连接到同一网段就可以相互ping通。