20232412 2025-2026-1 《网络与系统攻防技术》实验七实验报告

1.实验内容

实验要求

本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有

(1)简单应用SET工具建立冒名网站

(2)ettercap DNS spoof

(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。

本实验旨在通过实践深入理解两种主流网络欺诈技术原理。一是利用SET工具建立冒名网站,理解网络钓鱼的攻击模式与视觉欺骗性;二是掌握Ettercap进行DNS欺骗,揭示中间人攻击如何篡改域名解析。最终通过结合两者,模拟“引导用户访问冒名网站”的完整攻击链,从而直观认识其严重危害,并基于此深入探讨与提出具体有效的安全防范措施,以提升实际环境中的风险识别与防范能力。

2.实验过程

2.1 简单应用SET工具建立冒名网站

SET(Social-Engineer Toolkit) 是一款专用于社会工程学攻击的开源渗透测试框架,用 Python 编写,常用于模拟攻击来测试系统的安全防护能力,它集成多种攻击方式,如钓鱼网站、恶意文件生成、短信欺诈等。

输入setoolkit打开SET工具

image

这里显示了很多选项,它们分别表示:

  • Social-Engineering Attacks 核心功能:钓鱼网站、恶意文件、短信欺骗等社会工程学攻击

  • Penetration Testing (Fast-Track),自动化渗透测试:快速漏洞利用,与Metasploit集成

  • Third Party Modules,第三方扩展模块:增强工具功能

  • Update the Social-Engineer Toolkit,更新SET工具:获取最新版本

  • Update SET configuration,配置设置:修改邮件服务器、载荷等参数

  • Help, Credits, and About,帮助文档和关于信息:使用指南和开发者信息

这里我们选择1)Social-Engineering Attacks,来建立冒名网站。此时又出现以下选项:

image

我们选择2) Website Attack Vectors,即网络攻击向量,来克隆网站窃取凭证。此时又出现以下选项:

image

这里显示了很多选项,它们分别表示:

  • Java Applet 攻击方法,创建含恶意 Java 小程序的网页,利用 Java 漏洞执行 payload

  • Metasploit 浏览器漏洞利用,使用 Metasploit 的浏览器漏洞攻击模块(如 IE、Firefox 漏洞)

  • 凭证收割攻击方法,克隆登录页面窃取用户名密码,包括Site Cloner(网站克隆器)

  • 标签页绑架攻击,后台将闲置标签页重定向到钓鱼页面

  • 网页劫持攻击,显示虚假弹窗要求用户验证身份

  • 多重攻击方法,组合多种网页攻击方式

  • HTA 攻击方法,生成恶意 HTML 应用程序文件,通过 IE 执行 PowerShell payload

我们选择3) Credential Harvester Attack Method,克隆登录页面从而窃取用户名密码。此时出现以下选项:

image

这里显示了3个选项,它们分别表示:

  • Web Templates(网页模板),使用 SET 自带的预制钓鱼模板

  • Site Cloner(网站克隆器),直接输入目标网站 URL,自动克隆整个登录页面,完全复制目标网站的外观和表单结构

  • Custom Import(自定义导入),手动导入自己制作的钓鱼网页文件

我们选择2) Site Cloner,进行网站克隆。

输入IP地址和被克隆的网址。输入IP地址时直接回车,选用虚拟机的IP地址;被克隆的网址用http://tykd.com/User/reg/(天翼快递的注册界面)

image

此时在主机上输入kali的ip地址(即冒名网站的监听地址http://192.168.109.132),能够访问到一个与天翼快递注册页面相同的页面,克隆网站搭建成功。

image

在冒名网站填写注册信息后,点击立即注册,可以在kali的set工具中捕捉到用户输入的信息,说明冒名网站实现欺骗。

image

image

2.2 使用Ettercap进行DNS欺骗

Ettercap 是一款功能强大的中间人攻击工具,运行于局域网中,它主要用于网络嗅探和协议分析,实施各种欺骗攻击。

为进行网络嗅探和DNS欺骗,使用命令ifconfig eth0 promisc将网卡设置为混杂模式,监听整个网段的数据。

image

输入命令vi /etc/ettercap/etter.dns编辑ettercap工具用于定义DNS记录和进行DNS欺骗攻击的配置文件,添加www.tykd.com A 192.168.109.132,并保存

image

输入route -n查看网关,得到网关IP地址为192.168.109.2

image

输入ettercap -G进入Ettercap工具的图形化界面,点击右上角的√进入

image

点击左上角的Scan for hosts,扫描局域网在线主机,点击Hosts list,查看扫描结果这里可以看到靶机(Ubuntu系统)的IP192.168.109.136

image

将网关设为target1,靶机设为target2

image

点击右上角MITM menu,选择ARP Poisoning,选择Sniff remote connections并点击OK确认,进行双向ARP欺骗,攻击者可同时劫持目标主机与网关之间的双向流量,它告诉受害者:“网关的MAC地址是我(攻击者)的MAC地址”,告诉网关:“受害者的MAC地址是我(攻击者)的MAC地址”。

image

启动DNS欺骗插件,点击右上角的Ettercap menu,逐步点击Plugins,Manage plugins,在页面中点击dns_spoof,此时提示Activating dns_spoof plugin,代表插件成功启动。

image

我们在靶机上用pingnslookup对天翼快递的域名进行信息查询,发现得到的IP是攻击者的IP,说明DNS欺骗成功。

image

2.3 结合应用两种技术,用DNS spoof引导特定访问到冒名网站

重复2.1和2.2中的步骤,在靶机的浏览器进入www.tykd.com,实际上这是攻击主机提供的克隆网站,这一克隆网站伪造域名,更具欺骗性。

image

我们在该网站输入相关信息,能够在攻击机上显示

image

3.问题及解决方案

  • 问题1:在2.3中,我在靶机上直接访问 www.tykd.com/User/reg/,认为这是我伪造的网站,结果无法访问。

  • 问题1解决方案:通过向同学询问,我明白www.tykd.com对应的是攻击者的IP,所以www.tykd.com/User/reg/对应的是http://192.168.109.132/User/reg/,我并没有对该网页进行设置,所以找不到网页。

4.学习感悟、思考等

本次实验通过SET搭建钓鱼网站,并利用ettercap进行ARP欺骗与DNS劫持,实现了对目标访问的重定向。这也让我感受到网络攻击工具的强大,大幅降低了攻击门槛,一次简单的配置即可完成冒名网站的部署与流量劫持,普通用户难以察觉。这警示我们,网络攻击正变得日益便捷与隐蔽,防护需双管齐下,技术上要不断革新,抵御不同类型的攻击,用户个人也需加强安全意识,学会识别可疑链接,只有理解攻击原理,才能有效防御。
本次实验不仅提升了我的工具操作能力,更让我认识到网络安全是一场持续攻防的较量。作为未来可能参与防御体系建设的学习者,我们有必要深入理解攻击原理,才能在实战中更有效地构建安全屏障。

posted @ 2025-11-30 21:16  20232412李  阅读(6)  评论(0)    收藏  举报