2019-2020-2 20174308帅嵩《网络对抗技术》Exp7 网络欺诈防范

目录：

一、实践目标

二、基础知识

三、实践过程

四、基础问题回答

五、实践总结

---

 一、实践目标

1.1 实践目标

• 理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。

1.2 实践内容

• 简单应用SET工具建立冒名网站
• Ettercap dNS_spoof
• 结合应用两种技术，用dNS_spoof引导特定访问到冒名网

二、基础知识

• SET
  • Social-Engineer Toolkit，社会工程学工具包，由TrustedSec的创始人创建和编写，是一个开源的Python驱动工具，旨在围绕社交工程进行渗透测试，已经在包括Blackhat，DerbyCon，Defcon和ShmooCon在内的大型会议上提出过，拥有超过200万的下载量，旨在利用社会工程类型环境下的高级技术攻击。
• Ettercap
  • 具有嗅探实时连接、内容过滤等功能，支持插件，可以通过添加新的插件来扩展功能；
  • 工作原理是将网络接口设置为混杂模式并通过ARP欺骗感染目标设备，由此该设备成为“中间人”并发动对受害者的各类攻击；
  • 支持对许多协议(包括加密协议)的主动和被动分离，并具有网络和主机分析方面的多项功能，包含四种操作模式：
    • 基于IP的模式：根据IP源和目的地过滤数据包；
    • 基于MAC的模式：根据MAC地址过滤数据包，该模式能够对嗅探通过网关的连接起到作用；
    • 基于ARP的模式：利用ARP欺骗方式在两个主机之间的交换式局域网(全双工即支持双方同时发送信息)上进行嗅探；
    • 基于公共ARP的模式：利用ARP欺骗方式从一台受害者主机到其它所有主机的交换式局域网(全双工)上进行嗅探。
  • 具体功能：
    • 在已建立的连接中注入字符：将字符注入到服务器(模拟命令)或客户端(模拟回复)并同时保持实时连接；
    • SSH1支持：嗅探用户名和密码，甚至是SSH1连接的数据(能够以全双工方式嗅探SSH连接)；
    • HTTPS支持：嗅探HTTP SSL连接上的加密数据——通过Cisco路由器的GRE tunnel对远程流量进行嗅探，并对它进行”中间人攻击”；
    • 插件支持：使用Ettercap的API创建自定义插件；
    • 密码收集：可以收集以下协议的密码信息——TELNET、FTP、POP、IMAP、rlogin、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、Napster、IRC、RIP、BGP、SOCKS 5、IMAP 4、VNC、LDAP、NFS、SNMP、Half-Life、Quake 3MSN、YMSG；
    • 数据包过滤/丢弃：设置一个过滤器，用于在TCP或UDP有效内容中查找特定字符串(或十六进制序列)，并用自定义字符串/序列替换它，或丢弃整个数据包；
    • 操作系统指纹：可以提取受害主机及其网络适配器的操作系统信息；
    • 终止连接：从connections-list(连接列表)中终止所选择的连接；
    • 局域网的被动扫描：检索局域网上的主机信息、开放端口、可用服务的版本号、主机(网关、路由器或简单PC)的类型以及跃点数的预估距离；
    • 劫持DNS请求；
    • 主动或被动地在局域网中找到其它受感染者的功能。

三、实践步骤

 3.1 简单应用SET工具建立冒名网站

实验中需要使用http服务，因此需要使用到80端口。在kali中使用 【netstat -tupln |grep 80】 命令查看80端口是否被占用。如果有，使用 【kill+进程号 】杀死该进程。

使用【sudo vi /etc/apache2/ports.conf】命令修改Apache的端口文件，将端口改为80。

【apachectl start】 开启Apache服务：

setoolkit 打开SET工具，选择1： Social-Engineering Attacks（社会工程学攻击）

选择2： Website Attack Vectors（钓鱼网站攻击向量 ）

选择3： Credential Harvester Attack Method（登录密码截取攻击）

选择2： Site Cloner（进行克隆网站）

输入攻击机（kali）IP：192.168.1.104

输入被克隆的网址：【https://www.mosoteach.cn/web/index.php?c=passport】（云班课的首页）

随后输入y

在靶机重输入攻击机的IP：192.168.1.104

在其中输入账户密码，在攻击机重有反馈

3.2Ettercap dNS_spoof

将kali网卡改为混杂模式：【ifconfig eth0 promisc】

修改DNS缓存表：【vi /etc/ettercap/etter.dns】

【www.mosoteach.cn A 192.168.1.105】

开启ettercap：【ettercap -G】

将Primary interface设为： eth0

开始扫描。【Scan for hosts】开始扫描。随后通过【Hosts list】查看扫描结果

Target1是欺骗的目标ip，Target2是欺骗的路由器。

通过Plugins，开启【dns_spoof】。

在靶机中ping之前输入的网址。【ping www.mosoteach.cn】

kali中也存在记录

欺骗成功。

3.3 结合应用两种技术，用dNS_spoof引导特定访问到冒名网站

综合使用以上两种技术，首先克隆一个登录页面，在通过任务二实施DNS欺骗，实现输入云课班的网站而进入了博客园的网站。

第一步，按照克隆的步骤，将kali的ip192.168.1.105与博客园的首页【www.cnblogs.com】 关联。

第二步，由于DNS表已经是www.mosoteach.cn A 192.168.1.105，故不需要重复设置。执行同样的嗅探步骤。

第三步，靶机打开 【www.mosoteach.cn】 ，替换成功。

四、基础问题回答

• 通常在什么场景下容易受到DNS spoof攻击？

通常在其他人设置的局域网中容易受到攻击，比如商场的免费wifi，店铺里面的wifi。可能我们会自以为用万能钥匙破解了密码很开心，殊不知我们可能正在掉入其他人的陷阱之中。

• 在日常生活工作中如何防范以上两种攻击方法？

1. 浏览网页时注意查看网址，是否正规，是否是钓鱼网站。
2. 不随便点击邮件或短信中来源未知的链接
3. 当要输入账号密码时，尤其是重要的登陆时，一定要仔细确认网站是否安全，可以通过查看证书。
4. 使用公共网络时，一定要注意网络安全，千万不要在公网中进行支付操作。

五、实践总结

　　这次实验难度不大，但是我个人觉得收获比较大，主要是提高了我个人防范的意识，尤其是面对一些日常很容易遭到攻击的方面，提升了我对钓鱼网站、公共网络的使用方面的安全意识，切不可贪图方便使用公共网络进行一些重要的操作。通过钓鱼网站的生成和DNS欺骗的实践，我学到了一些东西，对于这两种最基本的攻击方式有所了解，极大的提高了我的安全意识。

apachectl start 开启Apache服务：