2019-2020-2 网络对抗技术 20175306王佳烁 Exp7 网络欺诈防范
2019-2020-2 网络对抗技术 20175306王佳烁 Exp7 网络欺诈防范
一、原理与实践说明
实践目标
- 本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
实践内容概述
- 简单应用SET工具建立冒名网站 (1分)
- ettercap DNS spoof (1分)
- 结合应用两种技术,用DNS spoof引导特定访问到冒名网站(1.5分)
实践原理
- Linux apachectl命令可用来控制Apache HTTP服务器的程序,用以启动、关闭和重新启动Web服务器进程。
- apachectl是slackware内附Apache HTTP服务器的script文件,可供管理员控制服务器,但在其他Linux的Apache HTTP服务器不一定有这个文件。
- 语法
apachectl [configtest][fullstatus][graceful][help][restart][start][status][stop]- configtest 检查设置文件中的语法是否正确。
- fullstatus 显示服务器完整的状态信息。
- graceful 重新启动Apache服务器,但不会中断原有的连接。
- help 显示帮助信息。
- restart 重新启动Apache服务器。
- start 启动Apache服务器。
- status 显示服务器摘要的状态信息。
- stop 停止Apache服务器。
- EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具。
- 它具有动态连接嗅探、动态内容过滤和许多其他有趣的技巧。
- 它支持对许多协议的主动和被动分析,并包含许多用于网络和主机分析的特性。
- 主要适用于交换局域网络,借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输。
二、实验内容
任务一:简单应用SET工具建立冒名网站
1、由于要将钓鱼网站挂在本机的http服务下,所以需要将SET工具的访问端口改为默认的80端口。使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件,将端口改为80,如下图所示:
2、在kali中使用netstat -tupln |grep 80命令查看80端口是否被占用。如果有,使用kill+进程号杀死该进程。如下图所示,看来是没有被占用:
3、使用apachectl start开启Apache服务:
4、输入setoolkit打开SET工具:
5、选择1:Social-Engineering Attacks即社会工程学攻击
6、选择2:Website Attack Vectors即钓鱼网站攻击向量
7、选择3:Credential Harvester Attack Method即登录密码截取攻击
8、选择2:Site Cloner进行克隆网站
9、输入攻击机IP:192.168.1.34,即Kali的IP
10、输入被克隆博客url:我选的是实验一的博客:->https://www.cnblogs.com/wjs123456/p/12404049.html
11、在提示后输入键盘enter,提示“Do you want to attempt to disable Apache?”,选择y
12、在靶机上(我用的Windows)输入攻击机IP:192.168.1.34,按下回车后跳转到被克隆的网页:
13、攻击机上可以看到如下提示:
14、为了起到迷惑靶机的作用,我们将靶机IP伪装成一串地址URL Shortener,在靶机输入(可能是错误的)用户名和密码,攻击机可全部获取
任务二:ettercap DNS spoof
1、使用ifconfig eth0 promisc将kali网卡改为混杂模式;
2、输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改,如图所示,可以添加几条对网站和IP的DNS记录,图中的IP地址是我的kali主机的IP:
www.mosoteach.cn A 192.168.1.34 //IP要换成自己的kali主机IP
www.cnblogs.com A 192.168.1.34
3、使用ettercap -G开启ettercap
4、在选择好网卡eth0后开始监听
5、在上面选择“Hosts”——>“Scan for hosts”扫描子网
6、点击“Hosts”——>“Hosts list”查看存活主机
7、虚拟机的网关为192.168.1.1,靶机Windows7的IP为192.168.1.29;
将网关的IP添加到target1,将靶机IP添加到target2
8、点击工具栏中的“Plugins”——>“Manage the plugins”
9、选择dns_spoof 即DNS欺骗的插件,双击后即可开启
10、最后在靶机中输入命令ping www.cnblogs.com,可以发现其实是向kali发送了数据包:
任务三:结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
1、综合使用以上两种技术,首先按照任务一的步骤克隆一个登录页面,在通过任务二实施DNS欺骗,此时在靶机输入网址http://www.cnblogs.com/可以发现成功访问我们的冒名网站
2、重复任务一,将蓝墨云登陆地址与kali的IP:192.168.1.34关联
3、按照任务二的步骤实施DNS欺骗,此时www.cnblogs.com(博客园网址)的解析地址已经被我们设置为了攻击机地址
4、靶机中输入网址www.cnblogs.com,显示出来的网页却是蓝墨云的登录界面
5、靶机在该登录界面输入用户名和密码,发现攻击机这边获取了相关信息,可以看到用户名、密码:
三、基础问题回答
1、 通常在什么场景下容易受到DNS spoof攻击
- 在同一局域网下比较容易受到DNS spoof攻击,攻击者可以冒充域名服务器,来发送伪造的数据包,从而修改目标主机的DNS缓存表,达到DNS欺骗的目的
- 连公共场合的免费WiFi也容易受到攻击,尤其是那种不需要输入密码直接就可以连接的更加可疑
2、 在日常生活工作中如何防范以上两攻击方法 - 使用最新版本的DNS服务器软件,并及时安装补丁;
- 关闭DNS服务器的递归功能。DNS服务器利用缓存中的记录信息回答查询请求或是DNS服务器通过查询其他服务获得查询信息并将它发送给客户机,这两种查询成为递归查询,这种查询方式容易导致DNS欺骗。
- 不要依赖DNS:不要在高度敏感和保密要求高的系统上浏览网页,最好不要使用DNS。如果有软件依赖于主机名来运行,那么可以在设备主机文件里手动指定。
- 不连陌生且不设密的公共WiFi,给黑客机会
- 使用入侵检测系统:只要正确部署和配置,使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。
四、实验感悟
- 本次实验,学会了使用工具克隆一个假冒网页,还可以将其伪造成一个其他网站来实现欺骗,通过这种方式还可获得账户名密码等信息。
- 本次实验让我增加了自己的安全意识,让我知道在公共场合不要轻易连wifi,黑客的手段太多,我们还太嫩。。。
