2020-2021-2 网络对抗技术 20181202 Exp7 网络欺诈防范

2020-2021-2 网络对抗技术 20181202 Exp7 网络欺诈防范

目录

目录

• 2020-2021-2 网络对抗技术 20181202 Exp7 网络欺诈防范
  • 原理与实践说明
    • 实践目标
    • 实践内容概述
    • 实践原理
    • 基础问题回答
  • 实验内容
    • 任务一：简单应用SET工具建立冒名网站
    • 任务二：ettercap DNS spoof
    • 任务三：结合应用两种技术，用DNS spoof引导特定访问到冒名网站。
  • 实验感想

原理与实践说明

实践目标

本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。

实践内容概述

1. 任务一：简单应用SET工具建立冒名网站
2. 任务二：ettercap DNS spoof
3. 任务三：结合应用两种技术，用DNS spoof引导特定访问到冒名网站

实践原理

• Linux apachectl命令可用来控制Apache HTTP服务器的程序，用以启动、关闭和重新启动Web服务器进程。
• apachectl是slackware内附Apache HTTP服务器的script文件，可供管理员控制服务器，但在其他Linux的Apache HTTP服务器不一定有这个文件。
• 语法apachectl [configtest][fullstatus][graceful][help][restart][start][status][stop]
  • configtest 检查设置文件中的语法是否正确。
  • fullstatus 显示服务器完整的状态信息。
  • graceful 重新启动Apache服务器，但不会中断原有的连接。
  • help 显示帮助信息。
  • restart 重新启动Apache服务器。
  • start 启动Apache服务器。
  • status 显示服务器摘要的状态信息。
  • stop 停止Apache服务器。
• EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具。
  • 它具有动态连接嗅探、动态内容过滤和许多其他有趣的技巧。
  • 它支持对许多协议的主动和被动分析，并包含许多用于网络和主机分析的特性。
  • 主要适用于交换局域网络，借助于EtterCap嗅探软件，渗透测试人员可以检测网络内明文数据通讯的安全性，及时采取措施，避免敏感的用户名/密码等数据以明文的方式进行传输。

基础问题回答

1、 通常在什么场景下容易受到DNS spoof攻击
答：同一局域网下、各种公共网络。

2、 在日常生活工作中如何防范以上两攻击方法

• 不要随便使用没有安全保障的公共网络
• 打开网页的时候，注意查看网址是否被篡改
• 使用入侵检测系统，可以检测出大部分的DNS欺骗攻击
• 不连陌生且不设密的公共WiFi，给黑客机会
• 直接使用IP地址访问，对个别信息安全等级要求十分严格的WEB站点尽量不要使用DNS进行解析。

实验内容

任务一：简单应用SET工具建立冒名网站

1、 由于要将钓鱼网站挂在本机的http服务下，所以需要将SET工具的访问端口改为默认的80端口。使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件，将端口改为80，如下图所示：

2、 在kali中使用netstat -tupln |grep 80命令查看80端口是否被占用。如果有，使用kill+进程号杀死该进程。如下图所示，无其他占用：

3、 使用sudo apachectl start开启Apache服务，发现已经打开了：

4、 输入sudo setoolkit打开SET工具：

5、 选择1：Social-Engineering Attacks即社会工程学攻击

6、 选择2:Website Attack Vectors即钓鱼网站攻击向量

7、 选择3:Credential Harvester Attack Method即登录密码截取攻击

8、 选择2:Site Cloner进行克隆网站

9、 输入攻击机IP：172.21.161.205，即Kali的IP

10、 输入被克隆博客url：我选的是百度首页

11、 在提示后输入键盘enter，提示“Do you want to attempt to disable Apache?”，选择y

12、 在靶机上（我用的Windows 10虚拟机）输入攻击机IP：172.21.161.205，按下回车后跳转到被克隆的网页：

13、 攻击机上可以看到如下提示：

14、 为了起到迷惑靶机的作用，我们将靶机IP伪装成一串地址URL Shortener，在靶机输入（可能是错误的）用户名和密码，攻击机可全部获取

任务二：ettercap DNS spoof

1、 使用sudo ifconfig eth0 promisc将kali网卡改为混杂模式；

2、 输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改，如图所示，可以添加几条对网站和IP的DNS记录，图中的IP地址是我的kali主机的IP：

www.mosoteach.cn A 172.21.161.205
www.cnblogs.com  A 172.21.161.205
www.baidu.com A 172.21.161.205

3、 使用ettercap -G开启ettercap
4、 在选择好网卡eth0后点击√开始监听

5、 在右上角的选择“Hosts”——>“Scan for hosts”扫描子网

6、 点击“Hosts”——>“Hosts list”查看存活主机

7、 虚拟机的网关为172.21.173.21，靶机Windows10的IP为172.21.173.21；
将网关的IP添加到target1，将靶机IP添加到target2

8、 点击工具栏中的“Plugins”——>“Manage the plugins”

9、 选择dns_spoof 即DNS欺骗的插件,双击后即可开启

10、 此时已经处于嗅探模式，在靶机中执行ping命令结果如下：

11、 kali端看到反馈信息如下：

任务三：结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

1、 综合使用以上两种技术，首先按照任务一的步骤克隆一个登录页面，在通过任务二实施DNS欺骗，此时在靶机输入网址http://www.cnblogs.com/可以发现成功访问我们的冒名网站

2、 重复任务一，将蓝墨云登陆地址与kali的IP:172.21.160.183关联

3、 按照任务二的步骤实施DNS欺骗，此时www.baidu.com的解析地址已经被我们设置为了攻击机地址

4、 靶机中输入网址www.baidu.com，显示出来的网页却是蓝墨云的登录界面(win xp版本太老出不来了，但肯定不是百度的搜索界面)

5、 此时攻击机中ettercap看见一条记录：

6、 靶机在该登录界面输入用户名和密码，发现攻击机这边获取了相关信息，可以看到用户名、密码

实验感想

本次实验，学会了使用工具克隆一个假冒网页，还可以将其伪造成一个其他网站来实现欺骗，通过这种方式还可获得账户名密码等信息。以前经常在课上听到DNS欺骗，却从来没有实践过，这没有后门文件，没有访问钓鱼网站，竟然也会被盗取账号密码，就是简简单单的配置了一下社会工程工具包和IP清单，这就可以实现制作一个像百度一样的网站映射到你的ip地址，当靶机打开百度的时候就会访问你的IP，之后建立一个远程的会话。。这也太危险了