175210《网络对抗技术》Exp7 网络欺诈防范

实践目标

本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。

实践步骤

一、简单应用SET工具建立冒名网站

1.1 启用 nginx

  • 我自己编译的,没有使用 apt 命令安装,所以启动方式可能与你的不一样

  • 进入 nginx 安装目录下的 sbin 目录,使用 ./nginx ( 我将端口改成了 8888,如果是默认的 80 端口,需要以 root 权限运行 ./nginx

  • 主机访问虚拟机上的 nginx

1.2 建立蓝墨云冒名网站

  • root 身份终端输入 setoolkit

  • 选择 1) Social-Engineering Attacks,即社会工程学攻击

  • 选择 2) Website Attack Vectors,钓鱼网站攻击向量

  • 选择 3) Credential Harvester Attack Method

  • 选择 2) Site Cloner 克隆网站

  • 输入建立冒名网站相关信息

    • 输入 虚拟机 IP 作为冒名网站的地址:http://192.168.131.129

    • 输入克隆 URL :https://www.mosoteach.cn/web/index.php?c=passport&m=index

1.3 输入用户名及口令登录

  • 通过 虚拟机 IP 访问冒名网站:http://192.168.131.129

  • 输入用户名及口令登录

  • setoolkit 接收到用户名、口令

二、ettercap DNS spoof

2.1 原理

ARP 欺骗分为单向欺骗和双向欺骗

  • 双向欺骗

    假设主机 A 192.168.1.2, B 192.168.1.3, C 192.168.1.4, 网关 G 192.168.1.1。 在同一局域网,主机A和B经过网关G相互通讯,就比如A和B两我的写信,由邮递员G送信,C永远都不会知道A和B之间说了些什么话。可是并非想象中的那么安全,在ARP缓存表机制存在一个缺陷,就是当请求主机收到ARP应答包后,不会去验证本身是否向对方主机发送过ARP请求包,就直接把这个返回包中的IP地址与MAC地址的对应关系保存进ARP缓存表中,若是原有相同IP对应关系,则原有的会被替换。

    这样C就有了偷听A和B的谈话的可能,继续思考上面的例子:
    C假扮邮递员,首先要告诉A说:“我就是邮递员” ( C主机向A发送构造好的返回包,源IP为G 192.168.1.1,源MAC为C本身的MAC地址 ),愚蠢的A很轻易的相信了,直接把“C是邮递员”这个信息记在了脑子里

    C 再假扮 A,告诉邮递员:“我就是A” (C向网关G发送构造好的返回包,源IP为A 192.168.1.2,源MAC地址为本身的MAC地址),智商捉急的邮递员想都没想就相信了,之后就把B的来信送给了C,C固然就能够知道A和B之间聊了些什么

  • 单向欺骗

    C 只向 A 发送一个返回包,告诉A:G 192.168.1.1 的MAC地址为 5c-63-bf-79-1d-fa( 一个错误的 MAC 地址,C 的 MAC 地址 ),A 把这个信息记录在了缓存表中,而 G的缓存表不变,也就是说,A 把数据包给了 C,而 G 的包仍是给 A,这样就是ARP单向欺骗了

2.2 预先修改

  • eth0 网卡改为混杂模式

    sudo ifconfig eth0 promisc

  • 修改要改变的 DNS 缓存表,添加 DNS 记录

    sudo vim /etc/ettercap/etter.dns

    添加 www.baidu.com A 192.168.131.129

2.3 开启 ettercap

  • 开启 ettercap

    sudo ettercap -G

  • 设置 Primary interfaceeth0

  • 点击右上角竖着的三点样式的按钮,开始扫描子网

    • 选择 Hosts -> Scan for hosts

    • 然后查看扫描到的存活主机,点击 Hosts -> Host list

  • 查看网关

    使用 route -n 命令,结果为 192.168.131.2

  • 将网关的 IP 添加到 target1,将靶机 IP 添加到 target2

    网关 IP :192.168.131.2 ,靶机 IP :192.168.131.130

    添加结果:

2.4 启用 ARP 欺骗

  • 选择 ARP poisoning

  • 勾选 sniff remote connections

  • 成功启用

2.5 启用 dns_spoof 模块

  • 点击 Plugins -> Manage the plugins -> dns_spoof

  • 这时,靶机 ping www.baidu.com,可以看到 IP 地址为:192.168.131.129

  • ettercap 可以看到这个请求的信息

三、DNS spoof 引导访问冒名网站

3.1 使用 setoolkt 建立蓝墨云冒名网站

3.2 将 www.baidu.com 域名指向 冒名网站的 ip(实践步骤二已完成)

3.3 DNS 欺骗后,访问 http://www.baidu.com

注意,必须要加上 http 前缀,否则默认为 https 无法连接

3.4 输入用户名及口令登录

四、刷新靶机 DNS 缓存表

  • 我的靶机是 linux,不存在 DNS 缓存。把攻击机上的 ettercap 关闭就恢复正常

  • 如果靶机是 Windows,就使用 ipconfig /flushdns 命令

实验总结与问题回答

基础问题回答

  • 1、通常在什么场景下容易受到 DNS spoof 攻击

    答:当连接在同一局域网或公共网络下时容易受到 DNS spoof 攻击。攻击者可以通过修改 DNS 缓存表将域名解析至实施钓鱼的 ip 地址上达到攻击目的。

  • 2、在日常生活中如何防范以上两种攻击方法?

    答:不要随意连接公共场合安全性差的wifi。防范没有使用 https 协议的网站

实验心得

普及 https 很有必要

posted @ 2020-05-16 13:28  175210闵天  阅读(70)  评论(0编辑  收藏