20232415 2025-2026-1 《网络与系统攻防技术》实验七实验报告

1.实验内容

1.1使用SET工具建立冒名网站;

1.2使用Ettercap进行DNS欺骗;

1.3结合SET与Ettercap技术实施DNS欺骗钓鱼攻击;

1.4提高防范意识,并提出具体防范方法。

2.实验目的

理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。

3.实验环境

安装Kali镜像以及安装WinXP镜像的2台VMware虚拟机

4.实验过程与分析

4.1 使用SET工具建立冒名网站

4.1.1 建立冒名网站

在root用户下通过setoolkit命令启动SET工具。在第一个菜单中选择“1) Social-Engineering Attacks”,进行社会工程学攻击。在第二个菜单中选择“2) Website Attack Vectors”,使用网页攻击向量模块。该模块通过创建恶意网站或克隆合法网站来欺骗用户,获取敏感信息或执行恶意操作。

d697bc22fb72d94420a8b390b2d15cdb

在第三个菜单中选择“3) Credential Harvester Attack Method”,使用凭证收集攻击方法模块。该模块会将所输入的用户名、口令记录下来,并实时显示捕获的凭证信息。

4d9facd8dc3156fa2e84f55b99408565

在第四个菜单中选择“ 2) Site Cloner”,用于克隆网站。

6d3022dffecdebd15fdbc04b5aa0d848

在接下来的IP中填入伪造网站的监听地址,此处填写Kali虚拟机的IP地址192.168.52.131.在目标网站的URL中输入被克隆的网站,此处选择克隆天翼快递的登录页面https://www.tykd.com/User/login/

4e05fb543d7f52440c23e24bbb715c83

4.1.2 验证欺骗效果

在浏览器中访问伪造的监听地址,发现能够看到一个与天翼快递登录页面相同的页面,说明冒名网站初步搭建成功。

image

在网站中输入登陆邮箱和密码,在set中成功抓取到信息:

image

4.2 使用Ettercap进行DNS欺骗

4.2.1 进行DNS欺骗

使用命令ifconfig eth0 promisc可以将网卡eth0设置为混杂模式,使用命令ifconfig eth0查看设置情况,如果出现promisc则说明设置成功。

image

在root用户下使用命令vi /etc/ettercap/etter.dns编辑定义虚假DNS记录的etter.dns文件。

在文件中添加两条DNS记录。

www.tykd.com A 192.168.52.131

*.tykd.com A 192.168.52.131

image

使用命令route -n查看网关的IP地址,发现网关IP地址为192.168.52.1。

image

通过命令ettercap -G打开Ettercap工具的图形化界面,打开sniffing at startup,并且选择网卡为eth0,点击右上角的√进入。

点击左上角的放大镜图标scan for host,扫描局域网存活主机。再点击旁边的hosts list,可以看到扫描得到的主机。其中包含靶机Win XP(192.168.52.133)和网关(192.168.52.1)。

image

选中指定条目,将靶机加入target1,网关加入target2。

image

点击界面中的地球图标(对应 MITM menu),在弹出的选项里选择 “ARP Poisoning”,并勾选 “Sniff remote connections” 选项后确认。此操作的目的是窃听目标主机与互联网之间的通信数据,因此需通过该设置实现中间人模式下的双向连接。
找到界面上的三竖点图标(对应 Ettercap menu),依次选择 “Plugins”→“Manage plugins”→“dns_spoof”,双击 “dns_spoof” 启用该插件。该插件会依据 etter.dns 配置文件中预设的规则,对目标主机的 DNS 解析结果进行篡改。
当 Ettercap 界面下方的窗口中出现 “Activating dns_spoof plugin…” 的提示时,即表明 DNS 欺骗功能已成功启动。

image

4.2.2 验证欺骗效果

操作靶机执行ping命令检测天翼快递域名,发现其返回的IP地址并非该域名真实IP,而是指向了攻击主机。

image

4.3 结合SET与Ettercap技术的DNS欺骗钓鱼攻击

4.3.1 搭建冒名网站并进行DNS欺骗

为通过 DNS 欺骗引导用户访问冒名网站,需结合 SET 与 Ettercap,步骤如下:​
搭建 SET 冒名网站​
重复4.1步骤搭建冒名网站,确保其在80端口正常运行。​
修改DNS配置文件​
调整Ettercap配置文件,将域名-IP映射改为www.fake.net和*.fake.net,与天翼快递真实域名区分。​
执行ARP毒化与DNS欺骗​
参照4.2剩余步骤,先做ARP毒化建立中间人环境,再启动DNS欺骗,使目标主机解析上述虚假域名时指向冒名网站 IP。

4.3.2 验证欺骗效果

操作主机对冒名网站的域名发起 ping 检测,从反馈结果可知,该域名不仅能够成功 ping 通,其解析得到的 IP 地址指向了攻击者的主机 IP.

image

在浏览器地址栏输入www.fake.net并访问,页面会跳转至 SET 工具伪造的冒名网站,该网站外观与天翼快递官网高度一致;随后在该冒名网站的登录界面中,输入个人邮件地址与对应的登录口令。

image

查看 SET 的运行日志发现,主机 192.168.52.133 已访问此前搭建的冒名网站,且该主机提交的邮箱信息与口令均以明文形式被 SET 工具捕获并留存。

image

4.4 具体防范方法​
(1)普通用户​
① 优先选择 HTTPS 协议网站:日常上网时,优先访问地址栏以 “HTTPS” 开头的网站。这类网站会通过浏览器对服务器身份进行验证,能有效避免因 DNS 欺骗等攻击被诱导至钓鱼网站,保障访问环境的安全性。​
② 仔细核查网站域名信息:在登录网银、社交平台、购物 APP 等敏感平台时,务必仔细核对域名的拼写是否正确,同时检查 URL 结构是否存在异常(如多余字符、陌生后缀等),避免因域名混淆误入假冒网站。​
③ 谨慎对待未知链接与邮件:不随意点击短信、社交软件、邮件中来路不明的链接,尤其是包含 “紧急通知”“限时福利” 等诱导性内容的链接;对发件人不明、内容可疑的钓鱼邮件,直接删除且不下载附件,防止触发恶意程序。​
④ 及时更新浏览器版本:养成定期检查并更新浏览器的习惯,确保浏览器搭载最新的安全补丁。新版本通常会修复已知的漏洞,能有效抵御针对浏览器漏洞发起的网络攻击,降低信息泄露风险。​
(2)专业人员​
① 运用工具监测网络异常:借助 Wireshark、DNS 查询监控工具等专业网络分析软件,实时监测局域网内的数据流。重点关注是否存在异常的 ARP 响应(如频繁变更的 ARP 映射关系)和异常的 DNS 响应(如域名解析结果与官方 IP 不符),及时发现潜在的中间人攻击或 DNS 欺骗行为。​
② 部署专项安全防护措施:在负责的网络环境中部署 ARP 防火墙,拦截非法的 ARP 欺骗数据包,防止网络通信链路被篡改;同时开启 DNSSEC(DNS 安全扩展)验证功能,确保域名解析过程的真实性和完整性,抵御 DNS 劫持攻击。​
(3)管理员​
① 优化网络架构与端口配置:从网络底层架构入手,将整体网络划分为多个独立的 VLAN(虚拟局域网),缩小 ARP 广播域的范围,减少 ARP 欺骗攻击的影响范围;同时配置交换机端口安全策略,限制每个端口可接入设备的 MAC 地址数量,防止非法设备通过端口仿冒接入网络。​
② 完善安全审计与监测机制:建立并完善网络日志审计体系,对设备接入、数据传输、域名解析等关键操作进行全程记录,便于后续追溯异常行为;此外,搭建网络异常行为检测系统,通过设定阈值(如异常 IP 访问频率、大量相同 MAC 地址接入等),实现对恶意攻击行为的自动预警和快速响应。

5.问题及解决

问题:Ettercap 配置 DNS 欺骗后,靶机 ping 天翼快递域名仍解析到真实 IP​
现象描述​
按照实验步骤修改etter.dns文件,添加www.tykd.com A 192.168.52.131等记录,并完成 ARP 毒化与 dns_spoof 插件启用后,在 WinXP 靶机执行ping www.tykd.com,返回的 IP 地址仍为天翼快递官网的真实 IP,未指向攻击主机(192.168.52.131)。​

原因分析​
靶机存在DNS 缓存:WinXP 系统会缓存已解析的域名 IP,若此前已访问过天翼快递官网,系统会优先使用缓存中的真实 IP,未触发新的 DNS 查询,导致 Ettercap 无法篡改解析结果;​
etter.dns文件配置错误:可能误将域名写为tykd.com(缺少www前缀),或 IP 地址与攻击主机 IP(192.168.52.131)不一致,导致 DNS 欺骗规则不生效;​
ARP 毒化未成功:未正确将靶机设为 target1、网关设为 target2,或未勾选 “Sniff remote connections”,导致 Ettercap 无法拦截靶机与网关之间的 DNS 查询数据包。​

解决方法​
清除靶机 DNS 缓存:在 WinXP 靶机的命令提示符中执行ipconfig /flushdns,清空已缓存的域名解析记录,确保后续 DNS 查询会重新请求网关;​
核对etter.dns配置:重新打开/etc/ettercap/etter.dns文件,确认域名格式(如www.tykd.com与*.tykd.com)和 IP 地址(192.168.52.131)无误,保存后重启 Ettercap 工具;​
重新配置 ARP 毒化:进入 Ettercap 的 “Hosts list”,确认靶机(192.168.52.133)和网关(192.168.52.1)已正确添加为 target1 和 target2,重新执行 ARP Poisoning 并勾选 “Sniff remote connections”,确保中间人链路建立成功。

6.心得体会
在本次网络欺诈与防范实验中,我沉浸式学习了三类核心技术:借助 SET 工具搭建高度仿真的冒名网站,利用 Ettercap 工具实施 ARP 欺骗与 DNS 欺骗,以及将这两类技术深度结合,完成一场完整的 DNS 欺骗钓鱼攻击。通过一系列亲手操作的实践环节,我不再是停留在理论层面,而是真正对网络欺骗的原理、流程与危害有了具象且深入的认知。​
整体来看,本次实验的推进十分顺畅。无论是用 SET 工具构建冒名网站,还是通过 Ettercap 开展 ARP 欺骗与 DNS 欺骗,核心操作步骤清晰易懂,并未遇到复杂的技术阻碍。唯一出现的两处小插曲,分别是域名与 IP 地址无法正常重定向的问题,以及冒名网站访问时出现的 CSS 格式丢失、表单提交失败现象。不过,凭借对实验原理的理解和快速查阅资料,这两个问题很快就得到了妥善解决,并未对实验进度造成影响。​
实验过程中,最让我触动的是钓鱼攻击 “低门槛” 与 “高迷惑性” 的强烈反差。仅仅通过简单的工具配置,就能生成一个与真实网站外观几乎一致的冒名页面,这种技术层面的 “以假乱真”,让我意识到普通用户仅凭肉眼根本难以分辨。这也让我深刻认识到,面对层出不穷的网络攻击,我们绝不能掉以轻心。从技术防护角度,DNSSEC 协议能有效抵御 DNS 欺骗,SSL/TLS 协议可保障通信过程的安全;而在日常生活中,更要时刻提升安全警惕性 —— 不随意点击来路不明的链接,不轻易在非官方平台输入敏感信息,警惕社会工程学攻击设下的各种陷阱。​
总而言之,这次实验不仅让我系统掌握了网络欺诈的核心技术与防范方法,更让我直观感受到了网络威胁的隐蔽性与危害性。这段实践经历所积累的知识与建立的安全思维,无疑会成为我未来学习网络与系统攻防技术的重要基础,为后续深入探索网络安全领域提供有力支撑。

posted @ 2025-11-30 01:07  20232415孙鸿淼  阅读(25)  评论(0)    收藏  举报