20175110 王礼博 Exp7 网络欺诈防范

目录

• 1.基础知识

• 2.简单应用SET工具建立冒名网站

• 3.ettercap DNS spoof

• 4.结合应用两种技术，用DNS spoof引导特定访问到冒名网站

• 5.问题回答

• 6.实验总结与感想

1.基础知识

SET

• Social-Engineer Toolkit，社会工程学工具包，由TrustedSec的创始人创建和编写，是一个开源的Python驱动工具，旨在围绕社交工程进行渗透测试，已经在包括Blackhat，DerbyCon，Defcon和ShmooCon在内的大型会议上提出过，拥有超过200万的下载量，旨在利用社会工程类型环境下的高级技术攻击。

Ettercap

• 具有嗅探实时连接、内容过滤等功能，支持插件，可以通过添加新的插件来扩展功能；

• 工作原理是将网络接口设置为混杂模式并通过ARP欺骗感染目标设备，由此该设备成为“中间人”并发动对受害者的各类攻击；

• 支持对许多协议(包括加密协议)的主动和被动分离，并具有网络和主机分析方面的多项功能，包含四种操作模式：

  • 基于IP的模式：根据IP源和目的地过滤数据包；

  • 基于MAC的模式：根据MAC地址过滤数据包，该模式能够对嗅探通过网关的连接起到作用；

  • 基于ARP的模式：利用ARP欺骗方式在两个主机之间的交换式局域网(全双工即支持双方同时发送信息)上进行嗅探；

  • 基于公共ARP的模式：利用ARP欺骗方式从一台受害者主机到其它所有主机的交换式局域网(全双工)上进行嗅探。

• 具体功能

  • 在已建立的连接中注入字符：将字符注入到服务器(模拟命令)或客户端(模拟回复)并同时保持实时连接；

  • SSH1支持：嗅探用户名和密码，甚至是SSH1连接的数据(能够以全双工方式嗅探SSH连接)；

  • HTTPS支持：嗅探HTTP SSL连接上的加密数据——通过Cisco路由器的GRE tunnel对远程流量进行嗅探，并对它进行”中间人攻击”；

  • 插件支持：使用Ettercap的API创建自定义插件；

  • 密码收集：可以收集以下协议的密码信息——TELNET、FTP、POP、IMAP、rlogin、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、Napster、IRC、RIP、BGP、SOCKS 5、IMAP 4、VNC、LDAP、NFS、SNMP、Half-Life、Quake 3MSN、YMSG；

  • 数据包过滤/丢弃：设置一个过滤器，用于在TCP或UDP有效内容中查找特定字符串(或十六进制序列)，并用自定义字符串/序列替换它，或丢弃整个数据包；

  • 操作系统指纹：可以提取受害主机及其网络适配器的操作系统信息；

  • 终止连接：从connections-list(连接列表)中终止所选择的连接；

  • 局域网的被动扫描：检索局域网上的主机信息、开放端口、可用服务的版本号、主机(网关、路由器或简单PC)的类型以及跃点数的预估距离；

  • 劫持DNS请求；

  • 主动或被动地在局域网中找到其它受感染者的功能。

返回目录

2.简单应用SET工具建立冒名网站

• 攻击机kali，IP：192.168.78.136 靶机win7，IP：192.168.78.135

• 由于要将钓鱼网站挂在本机的http服务下，所以需要将SET工具的访问端口改为默认的80端口。使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件，将端口改为80(一般不用修改)

• 在kali中使用netstat -tupln |grep 80命令查看80端口是否被占用。如果有，使用kill+进程号结束该进程。

• 使用apachectl start开启Apache服务。

• 输入setoolkit打开SET工具，选择1：Social-Engineering Attacks（社会工程学攻击）

• 选择2：Website Attack Vectors（钓鱼网站攻击向量 ）

• 选择3：Credential Harvester Attack Method（登录密码截取攻击）

• 选择2：Site Cloner（进行克隆网站）

• 输入攻击机（kali）IP： 192.168.78.136

• 输入被克隆的网址： https://www.mosoteach.cn/web/index.php?c=passport（蓝墨云班课的登录地址）

• 在靶机浏览器上输入攻击机IP：192.168.78.136，按下回车后跳转到被克隆的网页

• 输入自己的登录名和密码，点击登录，发现无法打开网页

• 此时，我们返回kali，发现已经截取了登录名和密码（我的登录名是我的手机号，密码安全起见屏蔽一下）

返回目录

3.ettercap DNS spoof

• 攻击机kali，IP：192.168.78.136 靶机xp，IP：192.168.78.137

• 这里我win7虚拟机突然进行更新，下面使用的是xp虚拟机完成的。

• 用ifconfig eth0 promisc命令将kali网卡改为混杂模式

• 修改DNS缓存表：vi /etc/ettercap/etter.dns，可以将任何想冒充的网址添加进去。

www.baidu.com A 192.168.78.136
www.cnblogs.com A 192.168.78.136

• 使用ettercap -G开启ettercap

• 将Primary interface设为： eth0

• 点击 ✔ 开始扫描

• 使用netstat -rn查看kali的网关地址

• 依次点击列表和放大镜图标完成搜素。

• 将kali网关的IP添加到target1，靶机IP添加到target2

• 选择右上角的地图标志，点击mitm>arp poisoning，选择sniff remote connections点OK确定

• 选择右上角的工具栏Plugins—>Manage the plugins，,选择dns_spoof

• 靶机PingDNS缓存表中添加的网站，解析地址都是攻击机的IP地址

• 靶机：ping www.baidu.com或ping www.cnblogs.com，Ettercap捕获到两条访问记录

返回目录

4.结合应用两种技术，用DNS spoof引导特定访问到冒名网站

• 攻击机kali，IP：192.168.78.136 靶机xp，IP：192.168.78.137

• 我选择用www.baidu.com（第二部分）引导用户访问蓝墨云登陆的冒牌网站（第一部分）

• 实际上前两个部分按步骤做完自然而言这就完成了，这里注明一下，只要在第二部分添加过的网页都可以打开蓝墨云登陆的冒牌网站。

• 可以看到，输入www.baidu.com，打开的是蓝墨云登陆的冒牌网站，因为xp虚拟机的IE版本问题，显示比较简陋，在红框中输入用户名密码，kali还是可以正常捕捉的。

返回目录

5.问题回答

（1）通常在什么场景下容易受到DNS spoof攻击

 使用公共的wifi比较容易遭受攻击；

 如果与其他计算机处在同一局域网中，例如他人的热点，也非常容易遭受攻击。     

（2）在日常生活工作中如何防范以上两攻击方法

 首先不要随意连接不安全的wifi，尤其是公共空间、没有密码的wifi；

 其次不要随意点击连接，以防黑客引导到钓鱼网站；

 还有要注意周期性使用安全检测软件定期对系统进行检查，预防遭受DNS攻击；
 
 最后提高警惕，对一切可能遭受的攻击方式做好充足的准备，例如冻结账户以防篡改等等。

返回目录

6.实验总结与感想

本次实验，我觉得可以一窥网络安全的部分真容，曾经自己有被盗号的经历，后来使用邮箱追回。但是还不清楚为什么自己的密码会泄露，联系本次的实验，算是有些猜测。这次实验虽然简单，但表现出的威胁确实令人毛骨悚然，现在，个公共地区的wifi在我眼里都是定时炸弹，希望设备的制造商、软件的编写者和通信的专家能够研制更严密的系统，不给犯罪分子任何可乘之机。

返回目录