20232311 2025-2026-1 《网络与系统攻防技术》实验七实验报告

实验内容

• 简单应用SET工具建立冒名网站
• 使用ettercap进行DNS欺骗
• 结合应用上述两种技术，用DNS spoof引导特定访问到冒名网站。

实验目的

• 理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法

实验环境

• 安装kali镜像的VMware虚拟机
  
• 安装Windows7镜像的VMware虚拟机
  
• 安装Windows10镜像的VMware虚拟机
  

实验过程

一、使用SET工具建立冒名网站

（一）SET工具

• 社会工程攻击，是一种利用“社会工程学”(Social Engineering)来实施的网络攻击行为。比如免费下载的软件中捆绑了流氓软件、免费音乐中包含病毒、钓鱼网站、垃圾电子邮件中包括间谍软件等，都是近来社会工程学的代表应用。
• Kali Linux系统集成了一款社会工程学工具包Social Engineering Toolkit(SET)，它是一个基于Python的开源的社会工程学渗透测试工具。这套工具包由David Kenned设计，而且已经成为业界部署实施社会工程学攻击的标准。
• SET利用人们的好奇心、信任、贪婪及一些愚蠢的错误，攻击人们自身存在的弱点。SET最常用的攻击方法有：用恶意附件对目标进行E-mail钓鱼攻击、Java Applet攻击、基于浏览器的漏洞攻击、收集网站认证信息、建立感染的便携媒体、邮件群发等攻击手段。

（二）建立冒名网站过程

1、由于SET功能依赖系统级权限，所以在root用户下通过setoolkit指令启动SET工具，进入主菜单：1是社工攻击（如钓鱼、恶意文件），2是快速渗透测试，3是第三方扩展模块，4用于更新工具，5可修改配置，6是帮助/信息，99则是退出工具，涵盖了SET从攻击到管理的全流程功能。

2、选择菜单中第一个Social-Engineering Attacks社会工程学攻击模块，进入子菜单：1.鱼叉式钓鱼攻击（定制钓鱼邮件）、2.网站攻击（克隆网站/嵌恶意代码）、3.感染介质生成（制作带恶意程序的U盘等）、4.生成恶意载荷并监听（获取目标权限）、5.批量邮件攻击（群发钓鱼邮件）、6.基于Arduino的攻击（硬件物理渗透）、7.无线接入点攻击（伪造恶意WiFi）、8.二维码攻击（生成含恶意链接的二维码）、9.PowerShell攻击（执行恶意脚本）、10.第三方模块（加载外部工具）、99.返回主菜单。

3、选择子菜单中第二个Website Attack Vectors网站攻击进行克隆目标网站，进入子菜单：1.Java Applet攻击（伪造证书投递载荷）、2.Metasploit浏览器漏洞攻击（利用浏览器漏洞植入载荷）、3.凭证窃取攻击（克隆网站获取账号密码）、4.TabNabbing攻击（切换标签页时篡改页面）、5.Web 劫持攻击（伪装链接跳转恶意页面）、6.组合攻击（同时启用多种网页攻击手段）、7. HTA攻击（克隆网站并通过HTA文件执行PowerShell注入）、99.返回主菜单；这些功能均围绕网页场景实施社工攻击。

4、选择子菜单中的3Credential Harvester Attack Method（凭证窃取攻击手段），以克隆带有账号密码输入框的网站，捕获目标在该伪造网站上提交的登录信息（如账号、密码），进入子菜单：1.Web Templates（使用预设的网页应用模板）、2.Site Cloner（完全克隆指定网站）、3.Custom Import（导入自定义的网站文件，需仅包含 index.html）、99.Return to Webtattack Menu（返回网站攻击菜单）；这些功能用于快速构建或自定义伪造网站，以捕获目标的登录凭证。

5、选择2Site Cloner完全克隆指定网站。为了让伪造网站将捕获的凭证数据发送回你的设备，输入回调IP：192.168.181.129即kali的IP；输入带克隆的网址这里选用https://tykd.com/User/login/

（三）验证欺骗效果

1、在同局域网下另一个设备中输入访问伪造网站的监听地址192.168.181.129，发现可以得到一个高仿的与天翼快递登陆页面极为相似的网页，说明冒名网站初步搭建完成

2、在刚刚得到的冒名网站中尝试输入信息进行登录，发现SET“凭证窃取-网站克隆”功能的执行界面已成功捕获到目标访问请求及对应的用户名（20232311@qq.com）和密码（20232311），体现了该功能通过伪造网站获取登录凭证的社工攻击效果。

二、使用EtterCap进行DNS欺骗

（一）EtterCap是什么

• EtterCap是Kali Linux默认预装的一款网络安全工具，核心用于嗅探、网络分析与中间人攻击（MITM）。它支持ARP欺骗、DNS欺骗等多种MITM技术，可劫持局域网内设备的通信，捕获HTTP、FTP等明文协议中的敏感信息（如账号密码），还能实时修改数据包（如篡改网页内容）。它提供命令行与图形界面两种操作模式，支持多种嗅探模式（如全网络嗅探、特定目标嗅探），是渗透测试中检测网络明文传输风险、验证通信安全的常用工具之一。

（二）进行DNS欺骗

1、本次使用的靶机是一台Windows7虚拟机

2、网卡默认仅接收指向自身或广播的数据包，而混杂模式能让网卡捕获局域网内所有流经的数据包：一方面突破过滤限制，使Ettercap通过ARP欺骗伪装网关后，能拦截靶机与网关间的DNS通信；另一方面保障流量捕获完整性，确保能完整获取靶机的DNS查询请求并篡改响应，同时也能支撑攻击前的局域网扫描，精准定位靶机和网关，是DNS欺骗实现的基础前提。所以先使用ifconfig eth0 promisc将网卡eth0设置为混杂模式，然后使用ifconfig查看eth0下是否出现PROMISC,出现即为设置成功

3、在root用户下使用指令nano /etc/ettercap/etter.dns用nano编辑器打开Ettercap的DNS配置文件来修改DNS欺骗规则。在文件中添加两条DNS记录，其中A记录A记录是域名系统中最基础的资源记录类型，核心作用是将域名与对应的IPv4地址建立映射关系，让用户输入域名时能被解析为具体的IPv4地址，从而实现网络访问的寻址。

www.tykd.com A 192.168.181.129 //将域名www.tykd.com的A记录解析指向IP 192.168.181.129
*.tykd.com A 192.168.181.129  //将tykd.com所有子域名的A记录均解析指向IP 192.168.181.129

4、Ettercap进行DNS欺骗时需指定网关IP作为ARP欺骗的目标之一，使用指令route -n查看网关的IP地址，发现网关IP地址为192.168.181.2。

5、使用指令ettercap -G打开Ettercap工具，按照下图配置后点击右上角的勾号进入

6、首先点击左上角放大镜图标扫描局域网中存在的主机，然后点击旁边的hosts list，获取扫描得到的主机。其中包含靶机Windows7（192.168.181.144）和网关（192.168.181.2）。并将靶机Windows7（192.168.181.129）加入Target1，将网关（192.168.181.2）加入Target2，如图所示：

7、选择ARP Poisoning并勾选Sniff remote connections，通过ARP欺骗让Kali伪装成网关，拦截靶机与网关间的所有流量（包括远程连接数据）；选择Plugins中的Manage plugins，双击启用dns_spoof插件，让Ettercap在捕获到靶机的DNS查询请求时，按照 etter.dns中配置的虚假解析记录返回伪造的IP地址，最终实现DNS欺骗。即前者实现流量劫持，后者实现DNS响应篡改。

（三）验证欺骗效果

1、返回伪造的DNS响应的插件dns_spoof已启用（标记“*”）；已选定两个攻击对象（GROUP 1为靶机、GROUP 2为网关），对应IP和MAC地址已被列入攻击列表；界面提示“Activating dns_spoof plugin...”，说明dns_spoof插件正在激活，即将配合已开启的ARP欺骗，对捕获的DNS请求进行篡改响应。这意味着Ettercap已完成DNS欺骗攻击的前期配置，即将进入流量拦截与DNS篡改的执行阶段。

2、在靶机上ping指定网址www.tykd.com，发现解析得到的IP是kali的IP，且目标设备成功与该IP建立了网络连接（Ping包全部接收），印证了DNS欺骗已成功将域名指向了伪造的地址。

三、结合SET与EtterCap进行DNS欺骗钓鱼攻击

（一）搭建冒名网站并进行DNS欺骗

• 操作步骤大体同上面两步，只做下列改动
  • 在进行DNS欺骗这一步时，将配置文件中的地址改成www.2311.com和*.2311.com，用于区分开正确的天翼快递的域名
    

（二）验证欺骗效果

1、当靶机为Windows7时

• 主机ping冒名网站的域名，发现可以ping通，而且IP地址也为kali的IP。
  
• 在靶机的浏览器中访问www.2311.com，能够访问SET伪造的冒名网站，但是部分样式图像丢失，输入用户名与密码进行登录发现靶机报404。kali中记录了来自192.168.181.144设备的多次请求（如访问首页、加载JS文件、请求图标等），部分请求返回404（说明克隆网站的部分资源未完整加载），但服务已正常接收目标设备的访问流量。
  
  
  
  2、当靶机为Windows10时
• 主机ping冒名网站的域名，发现可以ping通，而且IP地址也为kali的IP。
  
• 在靶机的浏览器中访问www.2311.com，能够访问SET伪造的与原网站高度相似的冒名网站，输入用户名与密码能正常运行。kali中也能够成功捕获到表单数据。
  
  

问题及解决方案

• 问题：在进行第三步结合SET与EtterCap进行DNS欺骗钓鱼攻击时，发现当靶机为Windows7时，虽然可以ping通域名且显示DNS已被欺骗，但是浏览器打开域名对应的冒名网页却出现页面元素缺失、无法进行登录操作；但是当靶机为Windows10时，既可以ping通显示DNS已被欺骗，输入假域名也能访问极为高仿的完整冒名网页并且进行登录操作时kali也能捕获到表单
• 问题的解决：由于安全策略限制差异，Windows 7的IE默认安全级别较高，会拦截克隆网页中的部分脚本如表单提交相关JS，导致登录功能失效；而Windows 10的Edge安全策略更适配常规网页，对克隆页面的脚本拦截较少，表单操作可正常执行。这里在Windows7的IE浏览器中信任该网页就可以进行完整功能了，kali中也可以获得登陆表单
  
  

学习感悟、思考

• 通过本次SET和EtterCap的运用实验，我直观感受到了网络钓鱼与DNS欺骗攻击的“低成本高威胁”特性：仅需借助Kali内置工具，就能快速克隆网站、劫持流量并窃取凭证，这让我意识到社会工程学攻击的核心风险并非复杂技术，而是利用了用户对“熟悉页面”的信任惯性。实验中Windows 7与Windows 10的效果差异也让我明白，终端环境的安全配置（如浏览器版本、安全策略）会直接影响攻击的成功率，这也解释了为何老旧系统往往是攻击的重点目标。
• 这次实验更让我明确了个人网络安全的防护方向：首先要警惕“域名细微差异”的钓鱼网站，即使页面高度相似，也需核对网址是否为官方域名；其次，应及时升级系统与浏览器，避免旧版本的兼容性与安全漏洞被利用；同时，局域网环境并非“安全区”，公共WiFi下的DNS劫持风险同样存在，日常需开启设备的安全防护功能（如DNS加密）。作为学习者，我也认识到渗透测试工具的“双刃剑”属性——掌握其原理既是防御的前提，也需恪守伦理边界，避免用于非授权操作。