20165309 《网络对抗技术》实验七：网络欺诈防范

1.基础问题回答

对于第一种，我觉得打开网页后，不要看到熟悉的页面就掉以轻心，而是应该仔细观察网页的地址，像一些高端的，都会用和原网页很相似的地址来欺骗我们，这时我们更应该擦亮双眼，谨防受骗。
对于第二种，它主要利用的是我们的DNS缓存表，所以我们需要定期清理DNS缓存，比如chrome设置里面就有不使用DNS缓存来打开网页，以杜绝DNS欺骗，可以参考https://jingyan.baidu.com/article/295430f1fbf89f0c7e0050a9.html。

我又一次感受到了网络对抗实验的有趣，攻击防不胜防，平时上网真的要注意安全。

使用lsof -i:80命令查看80端口的使用情况，此时未被占用（发现占用时，可用kill杀死进程，再对80端口进行确认）：
vi /etc/apache2/ports.conf后修改监听端口配置文件，将其修改为监听80端口（其实本来也就是80端口）：
使用service apache2 start开启apache服务，新开一个终端，输入setoolkit开启SET工具，y同意服务。
在目录中依次选择1→2→3→2：
- 社会工程学攻击
- 网页攻击
- 凭证收割攻击
- 克隆网站
接着输入攻击机kali的IP地址；
按照提示输入要克隆的url，这里我们用学校尔雅的网站。看到如下提示表示钓鱼网站搭建成功：
在kali里输入127.0.0.1，成功进入钓鱼网站版尔雅登录页面：
试了一下kali的IP，结果也是一样的：
终端上也显示了连接信息
但是克隆的钓鱼网站不能直接是IP地址，我们需要对网页域名进行伪装，以诱骗收信人的点击。所以登入http://short.php5developer.com/，输入kali的IP，得到伪装地址：
复制该网址，在靶机中的浏览器打开，先出现如下的界面，然后跳转到一个假的尔雅，可以截获登录的输入信息：

DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。

原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

使用命令ifconfig eth0 promisc将kali网卡改为混杂模式；
使用命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改，可以添加几条对网站和IP的DNS记录，IP地址填kali的IP：
使用命令ettercap -G启动ettercap，点击工具栏中的Sniff→unified sniffing，后在弹出的界面中选择eth0→确定监听eth0网卡：
在工具栏中的Hosts下先点击Scan for hosts扫描子网，再点击Hosts list查看存活主机，将kali网关的IP添加到target1，靶机IP添加到target2：
选择Plugins→Manage the plugins，在众多插件中选择DNS欺骗的插件，然后点击左上角的start选项开始嗅探：
此时在靶机中用命令行ping www.qq.com会发现解析的地址是我们kali的IP地址：
ettercap上也成功捕获了访问记录：