20171121王朋伟《网络欺诈防范》实验报告

一、实验名称

  网络欺诈防范

 

二、实验目的

  理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。

 

三、实验内容

  1.简单应用SET工具建立冒名网站

  2.Ettercap工具的dns_spoof

  3.结合应用两种技术,用dns_spoof引导特定访问到冒名网站

 

四、基础知识和实验准备

  1.SET工具

  Social-Engineer Toolkit,社会工程学工具包,由TrustedSec的创始人创建和编写,是一个开源的Python驱动工具,旨在围绕社交工程进行渗透测试,已经在包括Blackhat,DerbyCon,Defcon和ShmooCon在内的大型会议上提出过,拥有超过200万的下载量,旨在利用社会工程类型环境下的高级技术攻击。

  2.Ettercap工具

  (1)具有嗅探实时连接、内容过滤等功能,支持插件,可以通过添加新的插件来扩展功能;

  (2)工作原理是将网络接口设置为混杂模式并通过ARP欺骗感染目标设备,由此该设备成为“中间人”并发动对受害者的各类攻击;

  (3)支持对许多协议(包括加密协议)的主动和被动分离,并具有网络和主机分析方面的多项功能,包含四种操作模式:

    ·基于IP的模式:根据IP源和目的地过滤数据包;

    ·基于MAC的模式:根据MAC地址过滤数据包,该模式能够对嗅探通过网关的连接起到作用;

    ·基于ARP的模式:利用ARP欺骗方式在两个主机之间的交换式局域网(全双工即支持双方同时发送信息)上进行嗅探;

    ·基于公共ARP的模式:利用ARP欺骗方式从一台受害者主机到其它所有主机的交换式局域网(全双工)上进行嗅探。

  (4)具体功能

    ·在已建立的连接中注入字符:将字符注入到服务器(模拟命令)或客户端(模拟回复)并同时保持实时连接;

    ·SSH1支持:嗅探用户名和密码,甚至是SSH1连接的数据(能够以全双工方式嗅探SSH连接);

    ·HTTPS支持:嗅探HTTP SSL连接上的加密数据——通过Cisco路由器的GRE tunnel对远程流量进行嗅探,并对它进行“中间人攻击”;

    ·插件支持:使用Ettercap的API创建自定义插件;

    ·密码收集:可以收集以下协议的密码信息——TELNET、FTP、POP、IMAP、rlogin、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、Napster、IRC、RIP、BGP、SOCKS 5、IMAP 4、VNC、LDAP、NFS、SNMP、Half-Life、Quake 3MSN、YMSG;

    ·数据包过滤/丢弃:设置一个过滤器,用于在TCP或UDP有效内容中查找特定字符串(或十六进制序列),并用自定义字符串/序列替换它,或丢弃整个数据包;

    ·操作系统指纹:可以提取受害主机及其网络适配器的操作系统信息;

    ·终止连接:从connections-list(连接列表)中终止所选择的连接;

    ·局域网的被动扫描:检索局域网上的主机信息、开放端口、可用服务的版本号、主机(网关、路由器或简单PC)的类型以及跃点数的预估距离;

    ·劫持DNS请求;

    ·主动或被动地在局域网中找到其它受感染者的功能。

 

五、实验过程记录

  ·中文版Windows XP IP:192.168.217.131(靶机)

  ·kali机        IP:192.168.217.128(攻击机)

  5.1简单应用SET工具建立冒名网站

    5.1.1 Apache设置

    在root权限下使用“netstat -tupln | grep 80”查看80端口的占用情况,下图为无占用的情况,如果显示有占用的进程,则用“kill + 进程ID”杀死进程。

    输入“vim /etc/apache2/ports.conf”,查看Apache的端口文件确认HTTP对应的端口号为80。

    输入“sudo apachectl start”,启动Apache服务。

    5.1.2 SET工具配置

    输入“setoolkit”打开SET工具。

    输入“1”,选择“Social-Engineering Attacks”社会工程学攻击。

    输入“2”,选择“Website Attack Vectors”网站攻击向量。

    输入“3”,选择“Credential Harvester Attack Method”截取密码或凭证的攻击方式。

    输入“2”,选择“Site Cloner”网站克隆。

    根据提示输入攻击机的IP地址和需要克隆的网址。有些网站的防护措施比较到位,在克隆后的网站窃取不到有效信息,如“gitee.com”码云的登录界面,但有些网站可以,如云班课的登陆界面。

    ·克隆的网站为码云的登录界面https://gitee.com/login,在克隆网站上输入用户名和密码后,在kali端无法窃取有效信息

    ·克隆的网站为云班课的登录界面https://www.mosoteach.cn/web/index.php?c=passport,在克隆网站上输入账号和密码后,在kali端可以窃取到用户名account_name=20171121和密码user_password=wpwwpw。

 

  5.2 Ettercap工具的dns_spoof

  输入“sudo ifconfig eth0 promisc”将kali机的网卡改为混杂模式。

  输入“vim /etc/ettercap/etter.dns”修改DNS缓存表,添加“www.mosoteach.cn  A  192.168.217.128”。

  输入“ettercap -G”启动Ettercap,将Primary interface设为eth0,点击【】开始运行。

  选择Hosts—>Scan for hosts扫描局域网中的活跃主机,在Hosts list中查看扫描得到的结果。

  在靶机输入“ipconfig”查询靶机的IP地址和默认网关。

  将网关192.168.217.2添加到target1,将靶机IP192.168.217.131添加到target2.

  点击工具栏中的Plugins—>Manage plugins,选择dns_spoof,即DNS欺骗插件,双击开启。

  在靶机终端中输入“ping www.mosoteach.cn”,查看该网站的解析地址,可得结论:在靶机中ping DNS缓存表中添加的网站,解析地址为kali的IP地址。

  一旦靶机访问了错误解析的网站,Ettercap会回显访问记录。

 

  5.3结合应用两种技术,用dns_spoof引导特定访问到冒名网站

  首先按照5.1的步骤克隆一个登录页面,再通过5.2的步骤实施DNS欺骗,此时可以在靶机中实现引导特定访问到冒名网站。

  此处进行了两次实验,一次将www.sogou.com(搜狗搜索)解析为kali机IP192.168.217.128,另一次将被克隆的网页nper.cmbc.com.cn/pweb/static/login.html(中国民生银行的个人网上银行登录界面)解析为kali机IP,两次实验中被克隆的网站均为nper.cmbc.com.cn/pweb/static/login.html(中国民生银行的个人网上银行登录界面)。

  第一次实验是确保确实可以利用dns_spoof引导特定访问www.sogou.com到冒名网站,但是由于两者的显示界面天差地别,很容易被识破,所以实际效用不大。于是有了第二次实验,将原网站克隆后作为冒名网站,并修改DNS缓存表,将原网站的解析地址改为攻击机的IP,这样目标如果不仔细观察两者的区别,不查看数字证书,是很难发现自己访问了钓鱼网站的,实用性比较好。

  输入“vim /etc/ettercap/etter.dns”修改DNS缓存表,添加“www.sogou.com  A  192.168.217.128”和“nper.cmbc.com.cn  A  192.168.217.128”。

  ·在靶机浏览器中访问www.sogou.com,会访问到克隆后的冒名网站上,但域名框还是显示为www.sogou.com。即使如此,但是由于两个网站界面相差过大,十分容易被目标识破。

  Ettercap回显的访问记录如下:

 

  ·在靶机浏览器中访问nper.cmbc.com.cn,会访问到克隆后的冒名网站上,但由于冒名网站和被错误解析的网站界面完全相同,目标如果不查看数字证书,很难识破这是钓鱼网站。

  Ettercap回显的访问记录如下:

  对比一下正确的解析结果,可以发现正确解析的网站一般都有有效的数字证书,还会有一个小锁代表连接安全(如下图所示)。

  测试在冒名网站中输入登录名、登录密码和验证码后,观察SET工具窃取的有效信息。

 

  在下图红字中,我们可以获得如银行ID,用户登录所在地区,登录名,验证码等一系列有效信息:

  银行ID :9999

  地区  :中国zh_cn

  UserID :20171121wpw

  验证码 :abcd

 

六、基础问题回答

  1.通常在什么场景下容易受到DNS spoof攻击

  答:与攻击者处于同一局域网下,攻击者可以利用ARP欺骗,冒充网关或DNS服务器向靶机发送虚假的解析包,引导靶机访问到冒名网站,进而窃取相关信息。

  2.在日常生活工作中如何防范以上两种攻击方法

  答:(1)浏览网站时注意查看该网站是否有可信任的证书;

    (2)在公共场所如商场、写字楼时,尽量使用手机流量,而不要去连公共场所的WiFi;

    (3)正确部署和配置入侵检测系统,可以检测出大部分形式的ARP欺骗攻击和DNS欺骗攻击;

    (4)将Gateway Router的Ip Address和MAC Address静态绑定在一起。

 

七、实验总结与体会

  通过本次实验,我理解了常用网络欺诈背后的原理,提高了防范网络欺诈的意识。实验中我首先应用SET工具建立冒名网站,同时结合Ettercap工具的dns_spoof,引导特定访问到冒名网站,以此来模拟窃取相关用户名和密码信息的钓鱼网站。本次实验让我懂得了在一个局域网中,要想进行DNS欺骗并不是一件困难的事情,在以后的生活中,要警惕钓鱼网站和钓鱼WiFi,保护好自己的个人信息。

  本次实验令我受益匪浅,期待下次实验能让我对这门课程有更深的理解和感悟。

posted on 2020-05-16 22:10  20171121王朋伟  阅读(145)  评论(0编辑  收藏