作业7

20175103王伟泽 Exp7 网络欺诈防范

一、实验前准备

1.实践目的

理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。

2.实践对象

Linux系统:kali攻击机
Windows 7系统:靶机

3.实践内容

  • 简单应用SET工具建立冒名网站
  • ettercap DNS spoof
  • 结合应用两种技术,用DNS spoof引导特定访问到冒名网站
  • 请勿使用外部网站做实验

4.预备知识

Social-Engineer Toolkit(SET)

  • 社会工程师工具包(SET)由TrustedSec的创始人Dave Kennedy创建和编写。这是一个由Python驱动的开源工具,旨在围绕Social-Engineering进行渗透测试。
  • 它已在包括Blackhat,DerbyCon,Defcon和ShmooCon在内的大型会议上进行了介绍。它下载量超过200万,是社交工程渗透测试的标准,并在安全社区中得到了大力支持。
  • 它具有超过200万的下载量,目的是在社交工程类型的环境中利用先进的技术攻击。TrustedSec认为,社交工程是最难防范的攻击之一,现在已成为最普遍的攻击之一。自发布以来,该工具包已在许多书籍中得到推荐,其中包括12个月以来安全书籍销量排名第一,TrustedSec创始人以及Devon Kearns,Jim O'Gorman和其他人撰写的“ Metasploit:渗透测试员指南”。马蒂·阿哈罗尼(Mati Aharoni)。

Ettercap

刚开始只是作为一个网络嗅探器,但在开发过程中,它获得了越来越多的功能,在中间的攻击人方面,是一个强大而又灵活的工具。它支持很多种协议(即使是加密的),包括网络和主机产品特征分析,还有dns欺骗等等。
ettercap的sniffing工作方式划分为五种:

  • IPBASED:在基于IP地址的sniffing方式下,ettercap将根据源IP-PORT和目的IP-PORT来捕获数据包;
  • MACBASED:在基于MAC地址的方式下,ettercap将根据源MAC和目的MAC来捕获数据包(在捕获通过网关的数据包时,该方式很有用);
  • ARPBASED:在基于Arp欺骗的方式下,ettercap利用Arp欺骗在交换局域网内监听两个主机之间的通信(全双工);
  • SMARTARP:在SMARTARP方式下,ettercap利用Arp欺骗,监听交换网上某台主机与所有已知的其他主机(存在于主机表中的主机)之间的通信(全双工);
  • PUBLICARP:在PUBLICARP 方式下,ettercap利用Arp欺骗,监听交换网上某台主机与所有其它主机之间的通信(半双工)。此方式以广播方式发送Arp响应,但是如果 ettercap已经拥有了完整的主机地址表(或在ettercap启动时已经对LAN上的主机进行了扫描),ettercap会自动选取 SMARTARP方式,而且Arp响应会发送给被监听主机之外的所有主机,以避免在Windows主机上出现IP地址冲突的消息。

ettercap参数及常用操作

-l  显示可用网卡接口设备
-i  选择接口
-t  协议选择,tcp/udp/all,默认为all
-p  不进行毒化攻击,用于嗅探本地数据包
-L 载入过滤器文件
-V  text 将数据包以文本形式显示在屏幕上![](https://img2020.cnblogs.com/blog/1944438/202005/1944438-20200511190200864-1191036725.jpg)
-L  filename 把所有的数据包保存下来(保存后的文件只能用etterlog显示)

二、实验内容

1.简单应用SET工具建立冒名网站

因为实验是将钓鱼软件挂入自己攻击机的http服务下,因此要将SET工具访问的默认端口改为80端口。使用sudo vi /etc/apache2/ports.conf使用vi打开文本进行修改。我这里默认就是80端口,无需更改。

在攻击机终端输入指令netstat -tupln |grep 80命令查看80端口是否被占用,如没有显示说明未被占用,如有则将进程关闭,使用指令kill+进程号来结束进程。
输入指令apachectl start开启Apache服务。

在终端输入setoolkit打开SET工具,出现如下选项

选择1,Social-Engineering Attacks即社会工程学攻击,后出现如下选项。选择2Website Attack Vectors(钓鱼网站攻击向量)。

出现如下选项,选择3,Credential Harvester Attack Method登录密码截取攻击。

选择2,Site Cloner进行网站克隆,输入Kali主机ip192.168.41.130

根据要求,输入被克隆的网址,我这里选择的是蓝墨云班课的登陆界面:https://www.mosoteach.cn/web/index.php?c=passport

克隆成功,接下来在靶机上登录Kali的ip:192.168.41.130,发现打开了蓝墨云班课登陆页面。输入账号和密码。

登录后会出现网页出错提示,回到Kali系统中看到已经收到了包含账号和密码的信息。

2.Ettercap dNS_spoof

在终端输入指令ifconfig eth0 promisc,将Kali的网卡模式改为混杂模式。
输入指令vi /etc/ettercap/etter.dns,来修改DNS缓存表。
添加如下内容:

www.mosoteach.cn A 192.168.196.130
www.cnblogs.com A 192.168.196.130


输入指令ettercap -G来启动ettercap,其中将Primary interface设置为eth0。然后点击√开始。

点击左上角的搜索框来对同网段内的活跃主机进行扫描,可以看到扫描到了网关以及主机,分别选中默认网关和其中的靶机IP,添加到目标一、二中。


完成上述步骤后,点击右上角的省略号,打开Plugins,选择Manage the plugins,后选择dns_spoof即DNS欺骗。

在靶机上ping之前加入的两个网址,在Ettercap上可以看到已经捕获到了两条记录。

3.结合应用两种技术,用DNS spoof引导特定访问到冒名网站

根据上述两个过程,首先按照第一个过程克隆蓝墨云的登录界面,然后根据第二个过程,进行DNS欺骗。
首先将Kali的IP与所要冒充的博客网页按照过程一关联在一起。
之后按照过程二设置DNS缓存表,在表内存入如下内容:
www.mosoteach.cn A 192.168.196.130
打开ettercap进行嗅探。在靶机内访问www.mosoteach.cn,输入的是蓝墨云班课登陆界面,但是打开的却是博客园。

同时可以看到Kali主机捕捉到了访问信息。

三、实验总结

1.问题回答

1)通常在什么场景下容易受到DNS spoof攻击

  • 主机更容易受到与自己处于同一网段内的其他主机的DNS欺骗攻击。
  • 在外界中连接诸如的无线热点,免费WiFi等公共网络也容易遭受DNS攻击。

2)在日常生活工作中如何防范以上两种攻击方法

首先针对冒名网址,应该验证其数字证书,通过证书的成功验证可以对网址的真实性进行认证。此外,面对一些需要登录的网址,为了防止其是钓鱼网站,应尽量避免他人提供的连接而手动输入正确的网址。
针对DNS欺骗攻击,因为DNS攻击的欺骗行为要以ARP欺骗为开端,因此可以将Gateway Router 的Ip Address和MAC Address静态绑定在一起,来防范ARP攻击欺骗,从而防范DNS欺骗。此外在访问网页时直接使用IP地址来进行访问也可以避免DNS欺骗攻击。定期查看ARP缓存,定期检查DNS缓存表。

2.实验体会

本次实验,借助社会工程工程包和Ettercap嗅探工具,我完成了钓鱼网站的设立以及DNS攻击两种攻击方法。感觉面对不设防的主机,入侵的方式多种多样。各种层出不穷的社会工程攻击方式也是在不停进行欺骗,稍不留心就会受骗,如钓鱼网站进行伪造,或者伪造DNS服务器,网关等。只要亲手做过才能学到,并且进行针对性的预防。

posted @ 2020-05-11 22:41  20175103王伟泽  阅读(95)  评论(0编辑  收藏