20232426 2025-2026-1 《网络与系统攻防技术》实验七实验报告

20232426 2025-2026-1 《网络与系统攻防技术》实验七实验报告

一、实验内容

  1. 使用SET工具建立冒名网站;
  2. 使用Ettercap进行DNS欺骗;
  3. 结合SET与Ettercap技术实施DNS欺骗钓鱼攻击;
  4. 提高防范意识,并提出具体防范方法。

二、实验目的

理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。

三、实验过程与分析

任务一:使用SET工具建立冒名网站

1. 建立冒名网站

SET(全称Social-Engineer Toolkit)是Kali Linux自带的专门用于社会工程学攻击的开源渗透测试工具包,核心功能是通过模拟合法场景诱导用户泄露敏感信息。

操作步骤如下:

  1. 在root用户权限下,通过setoolkit命令启动SET工具;
  2. 在第一个菜单中选择“1) Social-Engineering Attacks”,进入社会工程学攻击模块;

d1885f61162f8347418cf0021e7f2a8e

  1. 在第二个菜单中选择“2) Website Attack Vectors”,启用网页攻击向量模块(该模块通过创建恶意网站或克隆合法网站,欺骗用户输入敏感信息或执行恶意操作);

27350f7e6603aefed54f31a56b440454

  1. 在第三个菜单中选择“3) Credential Harvester Attack Method”,使用凭证收集攻击方法(该模块可实时记录用户输入的用户名、口令等敏感信息,并在终端中显示);

8bef78621afac5bd61c9cd5fecadd7fa

  1. 在第四个菜单中选择“2) Site Cloner”,进入网站克隆功能;

985ad8763c256845ca66951e68ec158c

  1. 按提示输入伪造网站的监听地址(即Kali虚拟机的IP地址,此处为192.168.172.130);
  2. 输入目标克隆网站的URL(此处选择天翼快递登录页面:https://www.tykd.com/User/login/),完成冒名网站搭建。

d05db0f85548d792e22bf66377ba4821

2. 验证欺骗效果

  1. 在目标设备(Windows主机)的浏览器中输入伪造网站的监听地址(192.168.172.130),可看到与天翼快递登录页面高度相似的冒名页面,说明冒名网站初步搭建成功;

310980d7aeb1a1b33c1368ca1a8a27d0

  1. 在冒名页面中输入任意登录邮箱和口令,返回Kali终端查看SET工具输出,可捕获到明文形式的用户名与口令,验证攻击效果有效。

50fe41769162ccebc6da4bbfa83c5fbc

任务二:使用Ettercap进行DNS欺骗

1. 进行DNS欺骗

Ettercap是一款功能强大的网络嗅探与中间人攻击工具,支持在局域网环境下篡改网络流量、伪造DNS解析结果,核心用于渗透测试与安全评估。

操作步骤如下:

  1. 设置网卡混杂模式
    为监听整个局域网的数据流,需将Kali虚拟机的网卡(eth0)设置为混杂模式。
    • 执行命令ifconfig eth0 promisc开启混杂模式;
    • 执行命令ifconfig eth0验证,若输出中包含“promisc”字段,说明设置成功。

image

  1. 编辑虚假DNS记录
    Ettercap通过etter.dns文件定义虚假DNS解析规则,需手动添加目标域名的映射关系。
    • 执行命令vi /etc/ettercap/etter.dns打开配置文件;

6944999741a7d62ae262a50772d66ec3

  • 在文件末尾添加两条A记录(IPv4地址映射):
    www.tykd.com A 192.168.172.130  # 将天翼快递主域名解析到Kali虚拟机IP
*.tykd.com A 192.168.172.130    # 将所有天翼快递子域名解析到Kali虚拟机IP
  • 保存并退出文件。

ad55a81d1f6939371db30b76d0cdd3ae

  1. 查看网关IP地址
    执行命令route -n查看局域网网关IP,此处网关地址为192.168.172.2(后续中间人攻击需指定网关为目标之一)。

19ee9ac1f333cfa23d1fb0672e73802f

  1. 启动Ettercap图形化界面并配置攻击
    • 执行命令ettercap -G打开图形化界面;
    • 在弹出的“Sniffing startup”窗口中,勾选“Sniffing at startup”,选择网卡为eth0,点击右上角“√”确认;

028cab9b8804faca10e9584aab2bc0d4

  • 点击左上角“放大镜”图标(Scan for hosts),扫描局域网存活主机;
  • 点击“Hosts list”查看扫描结果,可识别出靶机Ubuntu(192.168.172.131)与网关(192.168.172.2);

241f7d289afe2e5fc813090a40f302b7

  • 分别选中靶机与网关条目,将靶机添加为“Target 1”,网关添加为“Target 2”(顺序可互换);

  • 点击顶部“地球”图标(MITM menu),选择“ARP Poisoning”,勾选“Sniff remote connections”并确认(开启双向中间人模式,窃听靶机与互联网的通信);

5af2600364a7a2011037938cf3aabb7d

  • 点击顶部“三竖点”图标(Ettercap menu),选择“Plugins→Manage plugins→dns_spoof”,双击dns_spoof启用DNS欺骗插件(插件将按etter.dns规则篡改DNS解析)。

c7b3c70c639873460380382d82c322da

2. 验证欺骗效果

  1. 观察Ettercap下方状态栏,若显示“Activating dns_spoof plugin…”,说明DNS欺骗插件已成功启动;

  2. 在靶机Ubuntu中执行命令ping www.tykd.com,查看解析结果:若返回IP为192.168.172.130(Kali虚拟机IP),说明DNS欺骗成功,靶机已被诱导解析到虚假地址。

79b5ec371f3a7018c5bc41fb41b801bb

任务三:结合SET与Ettercap技术的DNS欺骗钓鱼攻击

1. 搭建冒名网站并进行DNS欺骗

为实现“用户访问真实域名时,被自动引导至冒名网站”的攻击效果,需结合SET(冒名网站)与Ettercap(DNS欺骗)技术,具体步骤如下:

  1. 重复SET冒名网站搭建
    参照任务一步骤,使用SET克隆天翼快递登录页面,确保冒名网站在80端口正常运行(Kali虚拟机IP仍为192.168.172.130);
  2. 修改Ettercap DNS配置
    为区分真实域名与测试域名,编辑etter.dns文件,将虚假域名改为www.fake.net*.fake.net,添加记录:
    www.fake.net A 192.168.172.130
*.fake.net A 192.168.172.130
  3. 重复Ettercap DNS欺骗配置
    参照任务二步骤,完成网卡混杂模式设置、网关识别、靶机/网关添加、ARP毒化启用、dns_spoof插件加载。

2. 验证欺骗效果

  1. 连通性验证
    在靶机Ubuntu中执行命令ping www.fake.net,若回IP为192.168.172.130,说明DNS欺骗生效,虚假域名已解析到冒名网站地址;

54ff3f828457ad5f0d684ad7586f4073

  1. 冒名网站访问验证
    在靶机浏览器中输入www.fake.net,可成功访问SET搭建的冒名网站(与天翼快递登录页面高度一致),输入任意邮箱与口令;

3acf39badadc40eef9868d075c9a41db

  1. 敏感信息捕获验证
    返回Kali终端查看SET工具日志,可清晰看到靶机(192.168.172.131)的访问记录,以及捕获到的明文邮箱与口令,攻击效果完全实现。

fb2a1f4ba79e1767430c0e0d26acf85d

任务四: 具体防范方法

针对本次实验涉及的网络欺诈手段,从不同用户角色出发,提出以下防范措施:

(1)普通用户

  • 优先访问HTTPS协议网站:浏览器会验证服务器SSL证书,有效防止被重定向到无证书的冒名网站;
  • 仔细检查域名拼写与URL结构:避免访问“形似”真实域名的虚假地址(如www.tykd.comwww.tykd1.com);
  • 拒绝点击来路不明的链接/邮件:不打开短信、邮件中未知来源的链接,防范社会工程学诱导;
  • 定期更新浏览器:及时安装安全补丁,修复域名解析、证书验证等模块的漏洞。

(2)专业人员

  • 使用网络分析工具监控异常流量:通过Wireshark捕获局域网数据包,检测异常ARP响应(如伪造网关MAC)、异常DNS解析(如知名域名指向陌生IP);
  • 部署专项安全工具:启用ARP防火墙拦截非法ARP欺骗,开启DNSSEC(DNS安全扩展)验证DNS解析结果真实性。

(3)管理员

  • 优化网络结构设计:将局域网划分为多个VLAN(虚拟局域网),限制ARP广播域范围;配置交换机端口安全,绑定合法设备MAC地址,防止非法设备接入;
  • 完善安全审计机制:建立网络日志审计系统,记录DNS查询、ARP请求等关键操作;部署异常行为检测工具,实时告警DNS欺骗、ARP毒化等攻击行为。

四、问题及解决

问题:Ubuntu与Windows系统下CSS样式差异及Ubuntu用户名口令捕获失败

问题现象

在4.3实验环节中,采用Ubuntu靶机访问冒名网站时,出现两条异常:一是页面CSS样式丢失,导致排版错乱;二是在冒名页面输入用户名与口令后,SET日志中未捕获到任何相关信息。而以Windows系统作为靶机时,未出现上述任一问题,页面显示及数据捕获均正常。

d8568647628ec90f59b80642f7ece240

解决方法

通过资料查阅与实验验证,明确问题根源及解决方案如下:

  • CSS样式丢失原因:SET工具克隆网站时,默认保留原网站CSS文件的相对路径(如/css/style.css)。但Ubuntu系统自带的火狐浏览器版本过旧,不支持现代网页的相对路径解析规则,导致样式文件加载失败;
  • 口令无法捕获原因:目标网站采用AJAX或JavaScript异步方式提交表单数据,而Ubuntu系统的旧版浏览器不兼容该类异步提交技术,表单数据未触发SET工具的捕获机制,因此日志中无相关记录,通过;
  • 解决措施:将靶机更换为Windows系统后,上述问题均已解决——浏览器可正常解析CSS相对路径,页面样式显示正常;同时兼容表单异步提交技术,SET工具成功捕获用户名与口令数据。

310980d7aeb1a1b33c1368ca1a8a27d0

五、心得体会

本次实验过程较简单,学习了SET工具冒名网站搭建、Ettercap DNS欺骗和两者结合的钓鱼攻击,对钓鱼攻击有了更加深刻的了解。我明白了使用真实域名也可能会跳转到冒名网站,也让我明白渗透技术的强大。在遇到Ubuntu内置的火绒浏览器出现CSS样式丢失,其实我已经见怪不不怪了,但是在看了其他同学的实验报告后研究了一下这个问题,同时也看到了旧浏览器无法异步提交的技术,也是更加深入的了解了渗透攻击技术的长处和局限性。

posted @ 2025-11-25 08:42  20232426刘嘉成  阅读(6)  评论(0)    收藏  举报