Exp7 网络欺诈防范

Exp7 网络欺诈防范

目录

• Exp7 网络欺诈防范
  • 【基础问题回答】
  • 【基础知识】
  • 【实验过程】
    • 简单应用SET工具建立冒名网站
    • ettercap DNS spoo
    • 用DNS spoof引导特定访问到冒名网站
  • 【实验总结】

【基础问题回答】

（1）通常在什么场景下容易受到DNS spoof攻击

公共场合的WiFi中，非常容易受到DNS spoof的攻击。尤其是无密码或者公开密码的环境中

（2）在日常生活工作中如何防范以上两攻击方法

防范以上两种攻击的方式也很简单，加强信息安全意识，养成良好的生活习惯：

公共场合不连接陌生WIFI，局域网的环境很容易被攻击
使用入侵检测系统
在网络访问中不轻易点击陌生的链接网页，不轻易录入自己的个人信息（还有充值卡的信息）
使用先进的杀软。DNS欺骗攻击不容易被发现，即便学习了网络攻防的专业知识，也很难保证不被欺骗和攻击，攻击的技术和方法也非常多样（windows defender）
打开网页的时候，注意查看网址是否被篡改
直接使用IP地址访问，对个别信息安全等级要求十分严格的WEB站点尽量不要使用DNS进行解析

【基础知识】

Linux apachectl命令可用来控制Apache HTTP服务器的程序，用以启动、关闭和重新启动Web服务器进程。

apachectl是slackware内附Apache HTTP服务器的script文件，可供管理员控制服务器，但在其他Linux的Apache HTTP服务器不一定有这个文件。

语法

apachectl [configtest][fullstatus][graceful][help][restart][start][status][stop]
- configtest 检查设置文件中的语法是否正确。
- fullstatus 显示服务器完整的状态信息。
- graceful 重新启动Apache服务器，但不会中断原有的连接。
- help 显示帮助信息。
- restart 重新启动Apache服务器。
- start 启动Apache服务器。
- status 显示服务器摘要的状态信息。
- stop 停止Apache服务器。

EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具。
    它具有动态连接嗅探、动态内容过滤和许多其他有趣的技巧。
    它支持对许多协议的主动和被动分析，并包含许多用于网络和主机分析的特性。
    主要适用于交换局域网络，借助于EtterCap嗅探软件，渗透测试人员可以检测网络内明文数据通讯的安全性，及时采取措施，避免敏感的用户名/密码等数据以明文的方式进行传输。

【实验过程】

简单应用SET工具建立冒名网站

要让冒名网站在别的主机上也能看到，需要开启本机的Apache服务，并且要将Apache服务的默认端口改为80
所以先在kali查看80端口是否被占用，netstat -tupln |grep 80,发现我的80端口没有被占用，继续实验，如果被占用了可以使用kill PID杀死进程。

用vi打开/etc/apache2/ports.conf，查看配置文件中的监听端口是否为80，如果不是就改成80。
并输入命令apachectl start开启Apache服务

打开一个新的终端窗口，输入setoolkit打开SET工具：
接着可以看到一连串的选项，首先选择1（社会工程学攻击）
然后选择2（网页攻击）
接着选择3登录密码截取攻击。
接着选择接下来选择2进行克隆网站。
接着输入攻击机的IP地址，也就是kali的IP地址，按照提示输入要克隆的url之后，我伪装的是学校教务网站，用户登录密码截取网页已经在攻击机的80端口上准备就绪：
在自己主机里输入192.168.30.147，成功进入钓鱼网站版教务处网站
终端上也显示了连接信息

但是这个钓鱼网站，伪装实在太拙劣了，伪装成一个较为正常的域名可以解决这点，可以使用http://www.baidu.com@192.168.30.147来实现一个简单的网页跳转
或者使用将ip地址转换为十进制数，以我们kali的ip地址为例，192.168.48.130，我们将它转换为192256^3+168*2562+48256^1+130=3232247938
我们在浏览器中输入http://baidu.com@3232247938成功跳转进入我们的钓鱼网站

网页版克隆攻击,之前的都一样，只有以下和之前的不一样选的是1,然后顺利获取到了邮箱和密码

ettercap DNS spoo

首先需要将kali网卡改为混杂模式，因此键入ifconfig eth0 promisc命令。
输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改，如图所示，添加一条对教务处校邮网站的DNS记录，图中的IP地址是kali主机的IP:

输入ettercap -G指令，开启ettercap，会自动弹出来一个ettercap的可视化界面，点击右上角的对勾：
在跳转出的页面的左上角点击搜索

再点击Hosts list查看存活主机，将kali网关的IP添加到target1，靶机IP添加到target2，在这里我的kali网关是192.168.48.2，靶机ip是192.168.48.133，不知道怎么查看网关可以使用netstat -rn 命令
选择Plugins—>Manage the plugins，,双击dns_spoof

此时在靶机ping刚刚添加缓存地址（百度和校邮网站），显示IP地址攻击机的IP也就是我的Kali的IP，发现收到的回复是来自kali而不是来自百度和校邮。
如果有同学在GUI模式下无法dns攻击成功的话，可以尝试使用命令行： ettercap -i eth0 -Tq -P dns_spoof -M arp:remote

用DNS spoof引导特定访问到冒名网站

这个实验实际上是上面两个的集合。这部分主要是先利用第一个实验中的步骤先克隆一个登录页面（即伪装的教务系统网站），然后再通过第二个实验实施DNS欺骗，接着在靶机上输入校邮的网址北京电子科技学院邮件系统 (besti.edu.cn)，可以发现成功登录了我的钓鱼网站：

【实验总结】

经过本次实验，我学会了简单应用SET工具建立冒名网站 、ettercap DNS spoof 以及结合应用两种技术，用DNS spoof引导特定访问到冒名网站的技术，明白了钓鱼网站的原理，在编写前端html时需要注意防范，尽可能不把风险留给用户。