20232303 2025-2026-1 《网络与系统攻防技术》实验七实验报告

20232303 2025-2026-1 《网络与系统攻防技术》实验七实验报告

1.实验内容

本实践的目标是理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有:

  1. 简单应用SET工具建立冒名网站
  2. ettercap DNS spoof
  3. 结合应用两种技术,用DNS spoof引导特定访问到冒名网站

2.实验过程

攻击机:Kali Linux虚拟机 IP地址:192.168.140.130

image

靶机:Windows XP虚拟机 IP地址:192.168.140.142

image

2.1 使用SET工具建立冒名网站

2.1.1 SET工具简介

SET(Social-Engineer Toolkit)是一款Kali Linux自带的专门用于社会工程学攻击的开源渗透测试工具包。本次实验通过其网站克隆功能构建仿冒页面。

2.1.2 建立冒名网站步骤

步骤1:启动SET工具

在Kali终端中以root权限运行以下命令启动SET工具:

sudo setoolkit

image

步骤2:选择社会工程学攻击模块
在第一个菜单中选择 1) Social-Engineering Attacks
各选项含义:

  • Social-Engineering Attacks:社会工程学攻击模块,包含钓鱼邮件、网站克隆、恶意U盘/光盘等攻击方式
  • Penetration Testing (Fast-Track):快速渗透测试模块
  • Third Party Modules:第三方扩展模块
  • Update the Social-Engineer Toolkit:更新SET工具包
  • Update SET configuration:更新SET配置文件

image

步骤3:选择网站攻击向量
在第二个菜单中选择 2) Website Attack Vectors
各选项含义:

  • Spear-Phishing Attack Vectors:鱼叉式钓鱼攻击模块
  • Website Attack Vectors:网站攻击向量,核心功能是克隆目标网站
  • Infectious Media Generator:感染介质生成器
  • Create a Payload and Listener:生成payload与监听器
  • Mass Mailer Attack:大规模邮件攻击
  • Arduino-Based Attack Vector:基于Arduino的攻击向量
  • Wireless Access Point Attack Vector:无线接入点攻击
  • QRCode Generator Attack Vector:二维码攻击生成器
  • Powershell Attack Vectors:PowerShell攻击向量
  • Third Party Modules:第三方模块

image

步骤4:选择凭据收集攻击方法
在第三个菜单中选择 3) Credential Harvester Attack Method
各选项含义:

  • Java Applet Attack Method:利用Java小程序漏洞的攻击
  • Metasploit Browser Exploit Method:结合Metasploit框架的浏览器漏洞利用
  • Credential Harvester Attack Method:凭据窃取攻击,克隆目标网站的登录页面,捕获用户输入的账号密码
  • TabNabbing Attack Method:标签页劫持攻击
  • Web Jacking Attack Method:网页劫持攻击
  • Multi-Attack Web Method:复合式网页攻击
  • HTA Attack Method:HTA攻击

image

步骤5:选择网站克隆
在第四个菜单中选择 2) Site Cloner
各选项含义:

  • Web Templates:预设网页模板
  • Site Cloner:网站克隆,直接复制目标网站的真实页面
  • Custom Import:自定义导入

image

步骤6:配置监听IP和克隆目标
SET会自动检测Kali虚拟机的IP地址,输入Kali的IP地址。
然后输入要克隆的目标网站URL。本实验选择克隆天翼快递的登录页面:

http://www.tykd.com/User/login/

image

克隆完成后,SET会在本地的80端口启动一个Apache服务器,冒名网站就搭建完成了。

2.1.3 验证冒名网站效果

步骤1:在靶机上访问冒名网站
在靶机(Windows XP)的浏览器中输入Kali的IP地址,访问冒名网站。

image

步骤2:测试凭据捕获功能
在冒名网站的登录页面中输入测试的邮箱地址和密码,然后点击"立即登录"。

image

步骤3:查看捕获的凭据
返回Kali的SET终端,查看捕获到的用户名和密码信息。

image

2.2 使用Ettercap进行DNS欺骗

2.2.1 Ettercap工具简介

Ettercap是一款功能强大的网络嗅探和中间人攻击工具,主要用于交换局域网环境下的渗透测试和安全评估。DNS欺骗攻击的核心是:

  • ARP毒化:让受害者认为攻击者的机器是网关,同时让网关认为攻击者的机器是受害者
  • DNS欺骗:当受害者请求解析某个域名时,攻击者伪造DNS响应包,将该域名解析到攻击者指定的IP

2.2.2 DNS欺骗配置步骤

步骤1:设置网卡为混杂模式
为了能够进行嗅探和欺骗攻击,需要将网卡eth0设置为混杂模式,从而监听整个网络的数据流。

sudo ifconfig eth0 promisc

验证设置是否成功:

ifconfig eth0

image

输出中出现 PROMISC 标志,说明设置成功。

步骤2:编辑DNS缓存表
使用vi编辑器打开ettercap的DNS配置文件:

sudo vi /etc/ettercap/etter.dns

在文件中添加以下DNS记录:

www.tykd.com      A   192.168.140.130
*.tykd.com        A   192.168.140.130

其中:

  • A 记录表示IPv4地址映射
  • * 表示通配符,匹配所有子域名

image

步骤3:查看网关地址
使用以下命令查看网关IP地址:

route -n

记录网关地址192.168.140.2

image

步骤4:启动Ettercap图形界面

sudo ettercap -G

在启动界面中:

  • 勾选 "Sniffing at startup"
  • 选择网卡为 eth0
  • 点击右上角的 ✓ 进入主界面

image

步骤5:扫描局域网主机

  • 点击左上角的放大镜图标(Scan for hosts)扫描局域网存活主机
  • 点击放大镜旁边的图标(Hosts list)查看扫描到的主机列表

image

步骤6:设置目标

  • 选中网关IP,点击 "Add to Target 1"
  • 选中靶机IP,点击 "Add to Target 2"

image

image

步骤7:启动ARP毒化

  • 点击地球图标(MITM menu)
  • 选择 "ARP poisoning..."
  • 勾选 "Sniff remote connections"
  • 点击 OK

image

步骤8:启动DNS欺骗插件

  • 点击三个竖点图标(Ettercap menu)
  • 选择 Plugins → Manage plugins
  • 在列表中找到 dns_spoof,双击激活

image

在Ettercap下方的窗口中看到 "Activating dns_spoof plugin..." 说明DNS欺骗成功启动。

2.2.3 验证DNS欺骗效果

在靶机(Windows XP)的命令行中ping www.tykd.com

image

ping结果显示的IP地址是Kali的IP地址,说明DNS欺骗成功

2.3 结合SET与Ettercap技术的DNS欺骗钓鱼攻击

本部分将SET建立的冒名网站和Ettercap的DNS欺骗结合起来,原理如下:

  1. 使用SET克隆目标网站(如天翼快递)
  2. 使用Ettercap进行DNS欺骗,将目标域名解析到Kali的IP
  3. 当靶机访问目标域名时,实际访问的是冒名网站
  4. 用户在冒名网站输入的凭据被SET捕获

重复2.1节的步骤,使用SET克隆天翼快递的登录页面(http://www.tykd.com/User/login/)
重复2.2节的步骤,使用Ettercap进行DNS欺骗

在靶机命令行中ping天翼快递域名:

ping www.tykd.com

image

ping结果显示解析到Kali的IP地址

在靶机浏览器中输入 http://www.tykd.com,访问网站。

image

此时虽然浏览器地址栏显示的是真实域名,但实际访问的是Kali上的冒名网站。
在冒名网站中输入测试的邮箱和密码,点击登录。

image

image

在Kali的SET终端中可以看到相关信息

2.4 防范网络欺诈的具体措施

2.4.1 针对普通用户

  1. 优先访问HTTPS协议网站:浏览器会验证服务器SSL证书,有效防止被重定向到无证书的冒名网站

  2. 仔细检查域名拼写与URL结构:避免访问"形似"真实域名的虚假地址(如www.tykd.com与www.tykd1.com)

  3. 拒绝点击来路不明的链接/邮件:不打开短信、邮件中未知来源的链接,防范社会工程学诱导

  4. 定期更新浏览器:及时安装安全补丁修复域名解析、证书验证等模块的漏洞

  5. 使用密码管理器:密码管理器会检查网站域名,防止在钓鱼网站自动填充密码

  6. 开启多因素认证(MFA/2FA):即使密码被盗,攻击者也无法仅凭密码登录

2.4.2 针对技术人员

  1. 使用网络分析工具监控异常流量:通过Wireshark捕获局域网数据包,检测异常ARP响应、异常DNS解析

  2. 部署专项安全工具:启用ARP防火墙拦截非法ARP欺骗,开启DNSSEC验证DNS解析结果真实性

  3. 配置静态ARP:最直接防止ARP欺骗的方式

  4. 使用VPN:在不信任的网络中使用VPN加密所有流量

2.4.3 针对网络管理员

  1. 使用安全的网络结构:将网络划分为多个VLAN,限制ARP广播域

  2. 配置交换机端口安全:限制每个端口的MAC地址数量

  3. 完善日志审计:建立异常行为检测机制

  4. 部署入侵检测系统(IDS/IPS):实时监控网络流量,检测异常活动

3.问题及解决方案

  • 问题:DNS欺骗后靶机仍解析到真实IP
    开启dns_spoof后,靶机解析的域名仍是正常网站的IP地址。这是因为在开启dns_spoof前已经ping过目标域名,导致靶机将正确域名保存在了本地DNS缓存中。
  • 问题解决方案:在靶机上清除DNS缓存:
ipconfig /flushdns

4.学习感悟与思考

通过本次实验,我深刻认识到网络欺诈背后所隐藏的技术原理与潜在危害。本次实验围绕网络欺诈相关技术展开实操,从SET工具搭建冒名网站,到Ettercap实施DNS欺骗,再到结合两种技术完成钓鱼攻击模拟,整个过程让我对网络欺诈的底层逻辑有了从理论到实践的深刻认知。
在实验过程中,我体会到:一个精心构造的冒名网站,在技术层面足以以假乱真,普通用户几乎无法凭肉眼分辨。整个攻击过程使用的工具都是现成的,操作步骤也相对简单,这说明网络攻击的门槛并不高。同时即使不突破外部防火墙,攻击者也能利用ARP、DNS等内网基础协议的缺陷,轻易实施监听和钓鱼,这提醒我们必须建立与外部网络同等级别的内网防护措施。
面对这些网络攻击,我们必须提高警惕。在技术层面,可以使用DNSSEC、HTTPS等安全协议保护通信;在日常生活中需提升安全意识,谨慎点击链接,警惕社会工程学攻击的陷阱。
此次实验不仅提升了我的实操能力,更强化了安全防范意识。未来无论是作为普通用户还是技术从业者,我都会坚持使用HTTPS协议、仔细核对域名、定期更新安全补丁等良好习惯,为保障网络空间安全贡献一份力量。

posted @ 2025-11-30 22:28  20232303朱佳禾  阅读(5)  评论(0)    收藏  举报