Exp7 网络欺诈防范

• 一、实践内容

• 1.1 实践目标

  • 本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。

• 1.2 实践内容

  • 1.2.1 简单应用SET工具建立冒名网站 （1分）
  • 1.2.2 ettercap DNS spoof （1分）
  • 1.2.3 结合应用两种技术，用DNS spoof引导特定访问到冒名网站。（2分）
  • 1.2.4 请勿使用外部网站做实验

• 二、实践原理

  • EtterCap
    • EtterCap是一款功能强大的嗅探工具
    • ettercap mitm方法
      • ARP                                    ARP欺骗
      • ICMP                                  发送ICMP数据包重定向到kali，然后由kali转发(只有受害者发出的数据包经过kali)
      • DHCP                                发送DHCP数据包，让受害者认为kali是路由器，(只有受害者发出的数据包经过kali)
      • Swith Port Stealing            ARP静态绑定欺骗
      • NDP                                   ipv6协议欺骗技术
  • apachectl
    • Linux apachectl命令可用来控制Apache HTTP服务器的程序。
    • apachectl是slackware内附Apache HTTP服务器的script文件，可供管理员控制服务器，但在其他Linux的Apache HTTP服务器不一定有这个文件。
    • 语法： apachectl [configtest][fullstatus][graceful][help][restart][start][status][stop]
    • 参数
      • configtest 检查设置文件中的语法是否正确。
      • fullstatus 显示服务器完整的状态信息。
      • graceful 重新启动Apache服务器，但不会中断原有的连接。
      • help 显示帮助信息。
      • restart 重新启动Apache服务器。
      • start 启动Apache服务器。
      • status 显示服务器摘要的状态信息。
      • stop 停止Apache服务器。

• 三、实践过程记录

• 3.1 简单应用SET工具建立冒名网站

  • Step1：将SET工具的访问端口改为80端口

    • 我们要建立一个钓鱼网站，然后把他挂在本机的http服务下，要使用的端口是80端口。所以我们需要将SET工具的访问端口改为80端口。
    • 我们输入命令： sudo vi /etc/apache2/ports.conf 修改Apache的端口文件，可以看到，此时set工具的访问端口已经是80端口了，所以就不需要修改了，如果不是80，我们要将端口号修改为80，如下图所示：
      • 

  • Step2：查看80端口是否被占用

    • 输入命令 netstat -tupln |grep 80
      • 
      • 可以看到80端口并未被占用。
      • 如果有进程占用了这个端口，可使用命令 kill+进程号 结束该进程

  • Step3：开启Apache服务

    • 输入命令 apachectl -k start 开启Apache服务
      • 

  • Step4：启动set工具

    • 在kali攻击机输入命令 setoolkit
      • 选择1，社会工程学攻击
      • 
      • 选择2，钓鱼网站攻击向量
      • 
      • 选择 3 ，认证获取攻击
      • 
      • 选择 2 ，站点克隆
      • 
      • 接着输入kali的ip地址
      • 
      • 
      • 输入要被克隆的网站：这里我选择克隆百度网页百度一下，你就知道 (baidu.com)
      • 
      • 接下来在“Do you want to attempt to disable Apache?”的后面输入  y
      • 
      • 在靶机（Windows XP）的浏览器中输入攻击机的IP： 192.168.80.128 ，即可看到被克隆的网页，kali中也可看到相应反馈。
      • 

• 3.2 ettercap DNS spoof

  • Step1：将网卡设为混杂模式

    • 我们需要输入命令 ifconfig eth0 promisc ，将网卡设为混杂模式，这样就能接收所有经过它的数据流
      • 
    • 使用 ifconfig eth0 检查
      • 

  • Step2：修改DNS缓存表

    • 输入命令 vi /etc/ettercap/etter.dns 对DNS缓存表进行修改
    • 在这里我添加了以下记录：

    • 			  www.mosoteach.cn A 192.168.80.128
      			  www.cnblogs.com  A 192.168.80.128
      			  www.baidu.com    A 192.168.80.128
      

    • 

  • Step3：ettercap -G可视化界面

    • 接着，我们输入命令 ettercap -G 启动ettercap可视化界面
      • 我们选择好网卡为eth0 ，并且点击 √ 开始监听
      • 
    • 在右上角的工具栏中选择 Hosts——>Scan for hosts,扫一下当前网段的活跃主机
      • 
    • 选择在右上角Host选项中的Hosts list查看活跃主机名单
      • 
    • 查看一下靶机的ip与网关
      • 
    • 对应靶机的网关是192.168.80.2，将该内容添加到target1；靶机的ip地址是192.168.80.133，将该内容添加到target2
      • 
    • 选择右上角Plugins选项中的Manage pulgins
      • 
    • 选择dns_spoof开始进行DNS欺骗
      • 
    • 点击左上角开始，此时处于嗅探模式下
      • 
    • 在靶机中对刚刚在DNS缓存表中添加的网站执行ping命令，结果如下：
      • 
      • 
      • 
      • 可以看到，这几个网站的ip地址都变成了kali攻击机的地址了。
    • kali端看到反馈信息如下：
      • 

• 3.3 结合应用两种技术，用DNS spoof引导特定访问到冒名网站

  • Step1：按照第一个实践的步骤克隆一个登录页面

    • 这里我选择的是博客园的网站
    • 

  • Step2：使用 ettercap DNS spoof 技术进行DNS欺骗

    • 

  • step3：在靶机中输入 www.besti.edu.cn 即可跳转到克隆网站

    • 

• 四、基础问题回答

  • 4.1 通常在什么场景下容易受到DNS spoof攻击

  • 当我们在同一局域网下容易收到DNS spoof攻击
  • 所以平时不要连接未知的网络，很危险

  • 4.2 在日常生活工作中如何防范以上两攻击方法

  • DNS欺骗攻击大多是被动的。一般情况下，除非发生欺骗攻击，否则并知道我们的DNS已经被欺骗。
  • 在打开常用网页时，仔细检查网址是否被篡改；
  • 不随便使用不能保障安全的公共网络；
  • 使用最新版本的DNS服务器软件，并及时安装补丁；
  • 使用入侵检测系统：只要正确部署和配置，使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。

• 五、实验心得体会

  • 本次实验，我们通过简单应用SET工具建立冒名网站，并结合DNS欺骗访问冒名网站，甚至还能在攻击机中获取登录的账号和密码，切实感受到了网络攻击技术的危险，因此在日常生活中，一些不明的公共网络尽量不要主动连接，并且不要在该公共网络上登录涉及个人隐私、财产安全的账号。