20175133 于沛辰 Exp7 网络欺诈技术防范

一、实践内容

本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。具体实践有

（1）简单应用SET工具建立冒名网站

（2）ettercap DNS spoof

（3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

（4）请勿使用外部网站做实验

 

二、实践过程

1、实验环境

·攻击机kali Linux（IP：192.168.5.146）

·靶机1：Windows XP（IP：192.168.5.147）

·靶机2：主机win10 IP：192.168.5.1

1、简单应用SET工具建立冒名网站

·由于要将钓鱼网站挂在本机的http服务下，所以需要将SET工具的访问端口改为默认的80端口。使用 sudo vi /etc/apache2/ports.conf 命令修改Apache的端口文件，将端口改为80

·在kali中使用 netstat -tupln |grep 80 命令查看80端口是否被占用。如果有，使用 kill+进程号 杀死该进程。如下图所示，无其他占用

·输入指令 apachectl start 开启Apache服务

·输入指令 setoolkit 打开SET工具

·选择1： Social-Engineering Attacks 即社会工程学攻击

·选择2： Website Attack Vectors 即钓鱼网站攻击向量

·选择3： Credential Harvester Attack Method 即登录密码截取攻击

·选择2： Site Cloner 进行克隆网站

·输入kali IP：192.168.5.146

·输入被克隆的网址（这里我选用的学校的网站）

·在提示后按回车，提示“Do you want to attempt to disable Apache?”，输入y

·靶机上在浏览器里输入攻击机IP：192.168.5.146，跳转到被克隆的网页（由于XP为英文版本，所以加载不出来登录框，我就点击了一下登陆按钮，所以截取到的东西是空的）

 

·换一下主机，攻击机上可以看到如下,用户名和密码，攻击机可全部获取

2、ettercap DNS spoof

·使用指令 ifconfig eth0 promisc 将kali网卡改为混杂模式

·输入命令 vi /etc/ettercap/etter.dns 对DNS缓存表进行修改：我添加的记录是 www.cnblogs.com A 192.168.5.146

·使用指令 ettercap -G 开启ettercap,在弹出的界面中选择eth0，开始监听监听eth0网卡

·点击工具栏中的和按钮扫描子网并查看存活主机

·将kali网关的IP：192.168.5.2添加到target1，靶机IP：192.168.5.147添加到target2

·点击工具栏中右上角的按钮，选择arp poisoning，选择sniff remote connections点OK确定

·然后点击右上角的按钮→“Plugins”→“Manage plugins”

·选择dns_spoof

·在靶机输入指令 ping www.cnblogs.com 查看IP可见ping到了kali上

3、结合应用两种技术，用DNS spoof引导特定访问到冒名网站

·综合以上两种技术，首先按照任务一的步骤克隆一个登录页面，然后按照任务二实施DNS欺骗

·在靶机输入网址www.cnblogs.com可以发现成功访问我们的冒名的学校官网网站

·还是上面的问题这英文版本不显示，所以我假装有登录界面，点一下登录

·还是可以看到登录的账号密码的，因为我啥也没输入，所以空空如也。。

三、问题回答

·通常在什么场景下容易受到DNS spoof攻击?

答：同一局域网下、各种公共网络。

·在日常生活工作中如何防范以上两攻击方法？

答：DNS欺骗攻击大多是被动的。一般情况下，如果不留意、防范我们的DNS很容易被欺骗。这需要在打开常用网页时，仔细检查网址是否被篡改；在公共环境下不随便使用不能保障安全的公共网络；使用最新版本的DNS服务器软件，并及时安装补丁；使用入侵检测系统：只要正确部署和配置，使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。

 

四、实践体会

　　通过本次实验，我学会了利用学过的工具来进行网站克隆，从而进行社会工程学攻击，往往我知道在相关的邮箱文件里，通过类似的邮件发送，内容含有克隆网站的危险邮件很多，一不留神便会受到攻击，往往会让攻击者获得用户名和密码，这是十分危险的。所以我们应该注意防范，在公共场合尽量别使用公共wifi，保护自己的信息安全。