Exp7 网络欺诈防范 20165110

Exp7 网络欺诈防范 20165110

一、实践内容

本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。具体实践有
（1）简单应用SET工具建立冒名网站 （1分）
（2）ettercap DNS spoof （1分）
（3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。（1.5分）
（4）请勿使用外部网站做实验

二、具体步骤

任务一：简单应用SET工具建立冒名网站

1.要将钓鱼网站挂在本机的http服务下，所以需要将SET工具的访问端口改为默认的80端口。
使用sudo vi /etc/apache2/ports.conf可以发现本身默认的端口就是80端口，无需修改

2.输入指令netstat -tupln |grep 80查看Kali中的80端口是否被占用，可以发现Kali中80端口确实被占用，于是使用kill +进程号结束该进程，再次输入netstat -tupln |grep 80发现已无进程占用

3.随后打开Apache服务
apachectl start

4.进入setoolkitSET工具

选择1进行社会工程学攻击

选择2采用钓鱼网站形式

选择3登录密码截取攻击

选择2选择网站克隆

随后输入想要克隆的网站的域名

随后在靶机的IE浏览器中输入Kali的IP，可看见居然跟被克隆网站一模一样的网页！！！

在Kali端可以查看连接的相关状况

在靶机上随意输入用户名和密码，其值均可在Kali的终端上显示。。。

任务二：ettercap DNS spoof

1.首先通过可视化界面设置Kali的网卡为混杂模式（eth0）

2.随后输入指令vi /etc/ettercap/etter.dns对Kali中的DNS缓存表进行修改，添加一些我想要的记录

３.输入ettercap -G开启ettercap，随后会弹出一个可视化界面，点击工具栏中的Sniff——>unified sniffing，在弹出的界面中选择eth0->ok，（eth0网卡为刚刚我们设置的Kali的网卡模式）

4.在工具栏中的Hosts——>Scan for hosts——>Hosts list先扫描子网，再查看存活主机，将网关IP（10.1.1.1）设置为target1，靶机IP（10.1.1.226）设置为target2：


5.选择工具栏Mitm—>Arp poisoning，勾选Sniff remote connections.（嗅探并保持原连接状态），确定，然后选择工具栏Start->Start sniffing开始实行arp欺骗

在靶机中输入指令arp -s发现已经被arp欺骗成功

选择工具栏View->Connections查看和被监听靶机之间的所有连接信息：

6.选择Plugins—>Manage the plugins 双击dns_spoof选择DNS欺骗的插件，当该栏前侧出现*号即表示启动成功

7.开始嗅探，此时再靶机界面输入ping www.besti.edu.cn

可以发现解析的地址是攻击机的IP地址
返回Kali端可以发现ettercap中成功获取一条访问记录

任务三：结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

使用两种技术，首先按照任务一的方法克隆一个需要输入信息的登录界面，我依然选择的教务处的网站登录界面，并且通过检验可以成功抓取到相应的输入信息，随后我又通过任务二的方法实行DNS欺骗，此次我选择的载体是www.baidu.com可以发现当我输入该网站时，跳转到了我克隆的这样一个界面，在页面上输入相关的信息，转回Kali端可以成功抓取用户输入的相应的信息，实验成功！

三、实验中遇到的问题

1.我由于克隆了N多个网站，于是乎也出现了老师上课出现的问题，就是我新克隆了一个网站，但是在靶机上输入Kali相应的地址依然出现的是我上一个克隆的网站（嗯我用克隆的也是mail.qq.com）然后我又重复N多次再次克隆操作，还是打开显示qq邮箱的登录界面，然后我进入var/www的文件夹种然后把里面所有的文件全部都删了，再次进行克隆，最后成功了
解决方案：删除var/www的文件夹中相关文件

2.我在使用SET工具的时候总是会告诉我80端口被占用，可是我在开启apache之前全部都kill了啊，可能appache又占用了该端口吧。。。

解决方案：在显示提示后输入y

四、基础问题回答

1.通常在什么场景下容易受到DNS spoof攻击

答：

（1）当连接一个公共场合的Wifi时，尤其是那种不需要密码的公共wifi，心怀不轨者可以利用这个联网设备轻松搭建一些钓鱼网站

（2）同一局域网下（本次实验中的靶机和虚拟机就是这么一个存在）

2.在日常生活工作中如何防范以上两攻击方法

答：

（1）尽量不要去连公共场合的wifi

（2）浏览网站输入密码之前先查看该网站是否具有可信任的证书

（3）安装最新版的入侵检测系统（入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击）

（4）一些较为重要的网站将其IP地址和MAC地址的对应关系设置为静态（不过这个方法不能广泛使用）

五、实验心得体会

唔，通过这个实验我终于明白了妈妈为什么不让我在公共场合连Wifi了，我一直以为是因为连别人的网站会让别人在你的设备中装木马，我认为如果不访问一些奇奇怪怪的网站应该问题也不大，但是做完这个实验我发现，原来平时我以为的“正常的网站”其实也有可能是钓鱼网站！真是太可怕了。。。
最后，不能说所有的公共wifi都是这样，但是防患于未然，还是不要随意使用公共场合的Wifi了，真的太危险。。。