Exp7 网络欺诈防范

Exp7 网络欺诈防范

目录

• Exp7 网络欺诈防范
• 实验原理
• 实践过程
  • 任务一：简单应用SET工具建立冒名网站
  • 任务二：ettercap DNS spoof
  • 任务三：结合应用两种技术，用DNS spoof引导特定访问到冒名网站
• 基础问题回答
• 实验感想

实验原理

Linux apachectl命令可用来控制Apache HTTP服务器的程序，用以启动、关闭和重新启动Web服务器进程。
apachectl是slackware内附Apache HTTP服务器的script文件，可供管理员控制服务器，但在其他Linux的Apache HTTP服务器不一定有这个文件。
语法apachectl [configtest][fullstatus][graceful][help][restart][start][status][stop]

• configtest 检查设置文件中的语法是否正确。
• fullstatus 显示服务器完整的状态信息。
• graceful 重新启动Apache服务器，但不会中断原有的连接。
• help 显示帮助信息。
• restart 重新启动Apache服务器。
• start 启动Apache服务器。
• status 显示服务器摘要的状态信息。
• stop 停止Apache服务器。

EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具。

• 它具有动态连接嗅探、动态内容过滤和许多其他有趣的技巧。
• 它支持对许多协议的主动和被动分析，并包含许多用于网络和主机分析的特性。
• 主要适用于交换局域网络，借助于EtterCap嗅探软件，渗透测试人员可以检测网络内明文数据通讯的安全性，及时采取措施，避免敏感的用户名/密码等数据以明文的方式进行传输。

实践过程

任务一：简单应用SET工具建立冒名网站

由于要将钓鱼网站挂在本机的http服务下，所以需要将SET工具的访问端口改为默认的80端口。
使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件，将端口改为80，如下图所示：

在kali中使用netstat -tupln |grep 80命令查看80端口是否被占用。如果有，使用kill+进程号杀死该进程。如下图所示，无其他占用：

使用sudo systemctl status apache2命令开启Apache服务，Apache服务成功启动，截图如下：

输入sudo setoolkit打开SET工具，截图如下：
选择1：Social-Engineering Attacks即社会工程学攻击

选择2:Website Attack Vectors即钓鱼网站攻击向量

选择3:Credential Harvester Attack Method即登录密码截取攻击

选择2:Site Cloner进行克隆网站

输入攻击机IP：172.16.226.133，即Kali的IP，也可以直接按下Enter键

输入被克隆某一个网站的url：我选择的是云班课用户登录界面：https://www.mosoteach.cn/web/index.php?c=passport

在靶机上（我用的Windows）输入攻击机IP：172.16.226.133，按下回车后跳转到被克隆的网页：

在kali上看

在克隆网站上我输入用户名以及密码，在攻击机上可以看到靶机的get请求信息，还可以看到有关用户名和密码的信息。

但是这个钓鱼网站，伪装实在太拙劣了，伪装成一个较为正常的域名可以解决这点，通过网站URL Shortener可以将靶机IP伪装成一串地址

• 也可以通过http://www.baidu.com@172.16.226.133来实现一个简单的网页跳转

• 或者使用将ip地址转换为十进制数，以我们kali的ip地址为例，172.16.226.133，我们将它转换为172*256^3+16*256^2+226*256^1+133=2886786530，我们在浏览器中输入http://baidu.com@2886786530就能成功跳转进入我们的钓鱼网站。

任务二：ettercap DNS spoof

进入到root模式下，并使用ifconfig eth0 promisc将Kali虚拟机的网卡改为混杂模式；

输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改。如图所示，可以添加几条对网站和IP的DNS记录，图中的IP地址是我的kali主机的IP：

使用ettercap -G开启ettercap

默认Primary interface应该为eth0，如果不是，就改成eth0，点击√开始扫描

然后点击右上角的工具栏，扫描子网选择Hosts、Scan for hosts，然后查看扫描到的存活主机,点击Hosts、Host list

虚拟机的网关为172.16.226.2，靶机Windows7的IP为172.16.226.130；将网关的IP添加到target1，将靶机IP添加到target2

选择右上角的小圆圈标志，点击arp poisoning，选择sniff remote connections，点击OK确定

选择右上角的工具栏Plugins、Manage the plugins
选择dns_spoof，即DNS欺骗的插件,双击后即可开启

此时已经处于嗅探模式，在靶机中执行ping命令ping www.baidu.com，发现百度的IP已经更改成172.16.226.133

在Kali端看到反馈信息如下：

任务三：结合应用两种技术，用DNS spoof引导特定访问到冒名网站

完成思路：综合使用以上两种技术，首先按照任务一的步骤克隆一个蓝墨云班课登录界面，而后通过任务二实施DNS欺骗，欲达到在靶机输入网址www.baidu.com可以发现成功访问我们的冒名网站

重复任务一，将蓝墨云班课地址与kali的IP172.16.226.133关联

通过步骤2实施DNS欺骗，此时在靶机输入网址www.baidu.com可以发现成功访问我们的冒名网站，kali端可以监控收集靶机的登录信息

成功！

基础问题回答

1.通常在什么场景下容易受到DNS spoof攻击
公共网络环境容易受到DNS spoof攻击
在同一局域网下容易受到DNS spoof攻击

2.在日常生活工作中如何防范以上两攻击方法
不要随便使用没有安全保障的公共网络
打开网页的时候，注意查看网址是否被篡改
使用入侵检测系统，可以检测出大部分的DNS欺骗攻击
不连陌生且不设密的公共WiFi，给黑客机会
直接使用IP地址访问，对个别信息安全等级要求十分严格的WEB站点尽量不要使用DNS进行解析。

实验感想

通过本次实验，学习了利用各种工具克隆网页，制作一个钓鱼网站，通过监控可以获取靶机账号密码信息。同时也感慨网络环境并没有我们想象的那么安全。攻击者不需要任何后门程序，只需要实现你的IP与某一个网站的映射就可以窃取个人信息。在现实生活中，很可能因为自己的不留神，就造成信息的泄露，还有连接公共网络时一定注意保护自己的信息，不要浏览一些安全性低的网站，减少自己信息泄露的可能。