2019-2020-2 20175202葛旭阳《网络对抗技术》 Exp7 网络欺诈防范

2019-2020-2 20175202葛旭阳《网络对抗技术》 Exp7 网络欺诈防范

一、实验任务

本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。具体实践有
1.简单应用SET工具建立冒名网站;
2.ettercap DNS spoof；
3.结合应用两种技术，用DNS spoof引导特定访问到冒名网站；
4.请勿使用外部网站做实验。
5.基础问题回答。

二、实验原理

1.SET工具：
①SET是一个开源的、Python驱动的社会工程学渗透测试工具。利用人们的好奇心、信任、贪婪及一些愚蠢的错误，攻击人们自身存在的弱点。使用SET可以传递攻击载荷到目标系统，收集目标系统数据，创建持久后门，进行中间人攻击等。
2.ettercap：
①ettercap是一款现有流行的网络抓包软件，他利用计算机在局域网内进行通信的ARP协议的缺陷进行攻击，在目标与服务器之间充当中间人，嗅探两者之间的数据流量，从中窃取用户的数据资料。
②ettercap是一个基于ARP地址欺骗方式的网络嗅探工具。有两种运行方式，UNIFIED和BRIDGED。 它具有动态连接嗅探、动态内容过滤和许多其他有趣的技巧。它支持对许多协议的主动和被动分析，并包含许多用于网络和主机分析的特性。主要适用于交换局域网络，借助于EtterCap嗅探软件，渗透测试人员可以检测网络内明文数据通讯的安全性，及时采取措施，避免敏感的用户名/密码等数据以明文的方式进行传输。

三、实验步骤

【任务一：简单应用SET工具建立冒名网站】

1.使用sudo vim /etc/apache2/ports.conf命令修改Apache的端口文件，查看端口是否为80，如果不是修改端口为80。

2.在kali中使用sudo netstat -tupln |grep 80命令查看80端口是否被占用；

3.由上图我们发现，被1804号进程占用，我们使用命令sudo kill 1804命令杀死该进程；

4.使用sudo apachectl start命令开启Apache服务；

5. 输入sudo setoolkit命令打开SET工具；
   
   6.我们输入1 ：Social-Engineering Attacks即选择社会工程学攻击；
   
   7.我们输入2 :Website Attack Vectors即选择钓鱼网站攻击向量；
   
   8.我们输入3 :Credential Harvester Attack Method即选择登录密码截取攻击；
   
   9.我们输入2 :Site Cloner即进行克隆网站；
   
   10.我们输入攻击机的IP：192.168.3.66攻击机IP，命令行中已有提示；
   11.我们输入被克隆的url，即https://gitee.com/login（码云登陆界面），并在提示“Do you want to attempt to disable Apache?”后，输入y；

12.靶机浏览器中输入攻击机IP（192.168.3.66），即可看到我们克隆的网页https://gitee.com/login（码云登陆界面）；

13.同时，可看到攻击机服务器这边收到提示；

14.在靶机的登录界面输入用户名和密码，攻击机可以全部获取（输入错误的也可以，在攻击机的服务器中是以明文显示的）；

15.利用短网址生成器可以将待克隆的网址伪造成一串短网址，如下；

【任务二：ettercap DNS spoof】

1.首先使用ifconfig eth0 promisc将kali网卡改为混杂模式；
2.输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改，如图所示，可以添加几条对网站和IP的DNS记录，图中的IP地址是我的攻击机kali主机的IP：
www.mosoteach.cn A 192.168.3.66
www.cnblogs.com A 192.168.3.66

3.使用ettercap -G开启Ettercap；

4.点击工具栏中的“Sniff”——>“unified sniffing”；
5.在弹出的界面中选择“eth0”——>“ok”，即监听eth0网卡；

6.点击工具栏中的“Hosts”——>“Scan for hosts”扫描子网；

7.点击工具栏中的“Hosts”——>“Hosts list”查看存活主机；

8.将kali网关的IP：192.168.3.66添加到target1，靶机IP：192.168.3.14添加到target2：

9.点击工具栏中的“Plugins”——>“Manage the plugins”；

10.选择“dns_spoof”即DNS欺骗的插件,双击后下方提示如下：

11.然后点击左上角的“start”——>“Start sniffing”选项开始嗅探；

12.靶机上输入ping www.mosoteach.cn或ping www.cnblogs.com，可以在Kali端看到反馈信息：

【任务三：结合应用两种技术，用DNS spoof引导特定访问到冒名网站】

1.综合使用以上两种技术，首先按照任务一的步骤克隆一个登录页面，在通过任务二实施DNS欺骗，此时在靶机输入网址www.mosoteach.cn可以发现成功访问我们的冒名网站。
2.重复任务一，将码云登陆网址与kali的IP:192.168.3.66关联。
3.设置DNS表，加入www.mosoteach.cn与其对应的IP为192.168.3.66，打开ettercap，按任务二操作直至开始嗅探(实际上，只要我们在任务二中添加过的网址都能够打开码云的登陆网址)。
4.靶机打开www.mosoteach.cn，显示码云登陆页面。

5.输入任意用户名和密码后，在kali中也可看到连接的信息和用户名、密码；

四、实验过程中遇到的问题

1.问题：任务一中全部设置成功后，在靶机中打开克隆的网址，显示无法找到网页，如下图；

解决：尝试了多个软件的网页版的登陆网址都不行，后来尝试把网络设置成桥接，然后选择了码云的登陆界面，结果终于成功了。

2.问题：任务二中，对DNS缓存表进行修改时，修改后要保存时，提示无法打开并写入文件；

解决：首先进入管理员权限，再做修改，成功。

3.问题：在任务二中，一开始ping www.mosoteach.cn时，回连的地址一直不是我的Kali的IP；
解决：重新设置并等待了几分钟，重新尝试ping，成功解决问题。

五、问题的回答

1.通常在什么场景下容易受到DNS spoof攻击？
回答：通常在同一局域网下、各种公共网络中容易受到DNS spoof攻击。
2.在日常生活工作中如何防范以上两攻击方法？
回答：①不随便使用不能保障安全的公共网络；
②使用最新版本的DNS服务器软件，并及时安装补丁；
③打开常用网页时，仔细检查网址是否被篡改；
④不连接陌生且不设密的公共WiFi网络；
⑤使用入侵检测系统：只要正确部署和配置，使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。

六、实验心得与体会

本次实验的内容为网络欺诈防范，实验整体难度不大，按照步骤一步步完成就可以了。就是在克隆网站时选择网站是个大问题，本以为随便找一个登陆界面就可以作为克隆目标。但是发现总是无法找到网页，一些其他同学可以的网页，我还是不行，不过最后幸好码云的登陆界面让我成功实现了这次实验的目的。通过本次实验，我学会了如何利用工具来克隆网页，制作钓鱼网站，并可以将其伪造成一个相似的网站来实现欺骗，以此获取用户的账号密码等信息。这也提醒我在日常上网的过程中，要尽量杜绝公共的WIFI，远离一些不知道是否安全的网页，从而尽可能防止DNS欺骗的发生。