《网络对抗技术》Exp7 网络欺诈防范——20184303邢超远

一、实验概述

1.1 实验目标与要求

本实验的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。

仅可以使用内部网络做实验。

1.2 实验原理

本实验旨在运用钓鱼网站技术,结合DNS欺骗攻击实施网络欺诈行为。

DNS欺骗,是指篡改DNS应答报文并诱导用户访问钓鱼页面。当客户端向DNS服务器查询域名时,本地DNS服务器首先在本地缓存中进行查找,然后再本地数据库进行查询,如果没有匹配信息则向根服务器或指定的DNS服务器进行迭代查询,每台服务器都重复类似的动作,当在某台服务器的数据库中查找到对应信息后,查询路径中的所有服务器都会在自己的缓存中保存一份复制,然后返回给路径中的下一个服务器。攻击者根据DNS的工作原理,通过拦截和修改DNS的请求和应答包进行定向DNS欺骗,即只有目标主机查询特定域名时,才修改返回的DNS应答为虚假IP,其他情况还是返回真实的DNS应答。所以说,当主机访问特定域名时,其实访问的是攻击者指定的IP地址,这就实现了DNS欺骗。

DNS欺骗的手段主要有:

  • 缓存感染:直接攻击DNS服务器,将虚假的映射写入到服务器的缓存或数据库中。
  • DNS信息劫持:截获并修改DNS主机A记录、MX记录和CNAME记录应答报文。
  • DNS重定向:截获并修改DNS的NS记录应答报文,返回虚假的DNS服务器地址。
  • Hosts劫持:修改目标主机的hosts文件,写入虚假的主机-IP映射。

缓存感染和Hosts劫持需要实现对目标主机或服务器的远程入侵 常用的DNS欺骗方法主要是DNS信息劫持和重定向 常用工具 Cain&Abel、dnschef和Ettercap。

Etteracp是本实验用到的发起欺诈的工具,它是一款在MITM攻击也就是中间人攻击中广泛使用的工具,通常只在Linux/UNIX平台下运行,它具有强大的嗅探功能,提供了许多中间人攻击插件,包括我们用到的DNS欺骗。

二、实验内容

2.1 简单应用SET工具建立冒名网站

Step1:Apache监听端口确认

图1 vi /etc/apache2/ports.conf 确认本机apache服务器监听的端口是80端口

Step2:开启Apache服务器:apachectl start。若不能成功开启,可能和端口被占用有关,可以查看占用监听端口的进程的进程号然后将其结束。

Step3:使用SET工具克隆网站

图2

图3使用命令setoolkit打开set工具,初次打开需要输入“y”表示同意上述服务条款

图4 选择1,社会工程学攻击

图5 选择2,网站攻击向量

图6 选择3,凭证获取攻击方法

图7 选择2,网站克隆

图8 分别设置用户表单提交的目的地和要克隆的网站的首页地址,设置完成后下面出现蓝字部分

Step4:局域网内其他终端访问kali的网络地址

图9 在登录界面输入用户名和密码,在kali端可以看到连接建立的提示以及凭证抓取结果

图10 抓取登陆界面的前端代码,可知用户名表单名称是F_email,密码表单名称是password,与kali抓取结果一致

2.2 ettercap DNS spoof

Step1:使用ifconfig eth0 promisc 将网卡改为混杂模式。

Step2:编辑DNS映射文件,输入vim /etc/ettercap/etter.dns打开编辑界面,添加A记录:

baidu.com A 192.168.73.137

*.baidu.com A 192.168.73.137

图11首先按下“a”进入编辑,然后在指定位置输入内容,接下来按下“Esc”键,输入 :wq!,保存退出

Step3:开启ettercap工具

回到kali终端,输入指令ettercap -G开启ettercap,自动弹出一个可视化界面

图12 确认网卡为eth0,然后点击“√”开始监听

图13 选择“放大镜”符号搜索在线主机,然后点击“放大镜”右边的符合查看在线主机列表

在win7靶机中输入ipconfig

靶机的网关IP:192.168.73.2
靶机的IP:192.168.73.134

图14

分别将靶机的网关IP和靶机的IP加入target1和target2

图15

选择“最小化”左边的那个符号,按上图依次选择,最终选中“dns_spoof”,激活DNS欺骗插件

图16

此时在靶机上ping目标网站www.baidu.com,可以看到红框所示的网络地址已经变成了kali的网络地址,欺骗成功

图17

欺骗成功的同时查看kali的ettercap工具,可以看到红框所示部分是欺骗记录,目标网站被引导到了一个私有地址也就是我局域网中的kali的网络地址

图18

2.3 结合应用两种技术,用DNS spoof引导特定访问到冒名网站

首先确定要怎么冒名,我的思路是让靶机在浏览器地址栏中输入电科院邮箱网站首页地址:mail.besti.edu.cn,结果访问到的并不是真正的电科院邮箱网站,而是一个冒名的网站。前面的实验步骤也做过类似的操作,做成了钓鱼网站的形式,看到的界面和想要访问的界面在外观上看是一致的。那么在这里则是更进一步,看到的界面和想要访问的界面在外观上看是不一致的,也就是说有一个冒名网站乙,它假冒了我们想要访问的网站甲,当我们想要访问甲的时候,却被欺骗访问到了乙,这样的结果就是用户不仅没有访问到想要访问的网站也就是甲,并且还访问到了假冒+钓鱼网站乙。

Step1:重复2.1,克隆一个网站首页,这里说的这个克隆网站是上文提到的乙。我选择克隆的假冒网站是京东官网,使得局域网内主机访问kali的IP地址时能够访问到一个克隆的、假冒的京东官网www.jd.com。

图19 出现一系列提示信息,特别是倒数第二行蓝字信息,表示网站克隆成功

Step2:重复2.2,这里在添加DNS映射记录时,要添加的是mail.besti.edu.cn A 192.168.1.111。这样做的效果是,当局域网内主机访问电科院邮箱网站登录界面时,会被欺骗到kali的IP地址去,而这个地址呈现出来的就是在Step1中克隆的那个钓鱼网站。效果就是访问电科院邮箱网站结果被引到了京东官网。

图20

图21欺骗成功,电科院邮箱网站IP变成了kali的IP。正常情况下这个网站在外网是ping不通的,所以也不能通过ping判断出其IP是多少,但肯定不会是保留地址

Step3:有了Step1和2的操作,在靶机上访问电科院邮箱登录页面:mail.besti.edu.cn时,可以观察到下面的访问效果:

图22

可以看到地址栏要访问的是电科院邮箱网站,结果被一个冒名网站取代了,图中呈现的是京东官网

三、实验总结

3.1 基础问题回答

(1)通常在什么场景下容易受到DNS spoof攻击

本实验的场景是局域网,因此DNS spoof的攻击者经常选择局域网的环境。比如公共场合的WiFi中,非常容易受到DNS spoof的攻击。

(2)在日常生活工作中如何防范以上两攻击方法

防范以上两种攻击的方式也很简单,加强信息安全意识,养成良好的生活习惯:

  • 公共场合不连接陌生WIFI,局域网的环境很容易被攻击。
  • 在网络访问中不轻易点击陌生的链接网页,不轻易录入自己的个人信息。就像我们克隆的网页一样,网页非常的相似,如果不仔细看的话根本分不清真假,在这样的网页里输入信息,很轻易地就会造成信息泄露。
  • 使用先进的杀软。DNS欺骗攻击不容易被发现,即便学习了网络攻防的专业知识,也很难保证不被欺骗和攻击,攻击的技术和方法也非常多样,因此最为简单的方式是安装先进的杀软,由杀软厂商帮助解决。

3.2 实验体会

本次实验我学习了网络欺诈防范,从建立假冒网站和DNS spoof到两种方法结合,完成特定访问到冒名网站,这些攻击手段让我拓展了视野,对于网络攻击者的方式和套路有了基本的认识和理解,一个普通的网站,通过克隆技术可以做到非常的规范和完整,再借助一些技术完善细节,可以完美的克隆一个网站,对于我在未来工作中防范网络攻击有很大帮助,网络攻击是一个很广泛的知识面,我们必须不断学习,弄懂攻击技术的原理,由原理可以更加针对性的防范网络攻击,这也是我未来学习的重点。

posted @ 2021-05-11 18:55  20184303邢超远  阅读(162)  评论(0编辑  收藏  举报