2019-2020-2 20175227张雪莹 《网络对抗技术》 Exp7 网络欺诈防范

目录

基础知识

SET工具

  • SET是一个开源的、Python驱动的社会工程学渗透测试工具。利用人们的好奇心、信任、贪婪及一些愚蠢的错误,攻击人们自身存在的弱点。使用SET可以传递攻击载荷到目标系统,收集目标系统数据,创建持久后门,进行中间人攻击等。
  • 功能:
Select from the menu:
  	1) Social-Engineering Attacks     //社会工程学攻击
  	2) Penetration Testing (Fast-Track)     //快速追踪渗透测试
  	3) Third Party Modules     //第三方模块
 	4) Update the Social-Engineer Toolkit     //更新软件
 	5) Update SET configuration     //升级配置
   	6) Help, Credits, and About     //帮助信息

ettercap

  • ettercap是一款现有流行的网络抓包软件,他利用计算机在局域网内进行通信的ARP协议的缺陷进行攻击,在目标与服务器之间充当中间人,嗅探两者之间的数据流量,从中窃取用户的数据资料。
  • ettercap有两种运行方式,UNIFIEDBRIDGED
    • UNIFIED的方式是以中间人方式嗅探,基本原理是同时欺骗主机A和B,将自己充当一个中间人的角色,数据在A和B之间传输时会通过C,C就可以对数据进行分析,从而完成嗅探。
    • BRIDGED方式是在双网卡情况下,嗅探两块网卡之间的数据包。

返回目录

实验目标

  • 理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。

实验内容

实验环境

  • 攻击机:kali-linux-2020.1-vmware-amd64(192.168.99.116)
  • 靶机:Windows XP Professional(192.168.99.80)

简单应用SET工具建立冒名网站

  • 由于要将钓鱼网站挂在本机的http服务下,所以需要将SET工具的访问端口改为默认的80端口。
  • 使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件,将监听端口改为80,如下图所示:

在这里插入图片描述

  • 进入超级权限后使用命令netstat -tupln |grep 80查看80端口是否被占用。我这里没有被占用,如果被占用使用kill命令杀死该进程

在这里插入图片描述

  • 使用命令apachectl start开启Apache服务:

在这里插入图片描述

  • setoolkit开启SET工具
  • 选择1,即社会工程学攻击

在这里插入图片描述

  • 选择2,即钓鱼网站攻击向量

在这里插入图片描述

  • 选择3,即登录密码截取攻击

在这里插入图片描述

  • 选择2,即克隆网站

在这里插入图片描述

  • 输入攻击机IP192.168.99.116

在这里插入图片描述

  • 输入一个克隆成钓鱼网站的url,这里我选的是有登录功能的https://gitee.com/login
  • 出现Do you want to attempt to disable Apache?时选择y
    (我这里之前设了其他网站失败了,换成现在这个才🆗,所以提示不太一样)

在这里插入图片描述

  • 靶机浏览器中输入攻击机IP,即可看到攻击机这边收到提示

在这里插入图片描述

  • 在靶机的登录界面输入用户名和密码,攻击机可以全部获取:

在这里插入图片描述

返回目录

ettercap DNS spoof

  • 依次输入以下命令:
    • 将攻击机网卡设为混杂模式:ifconfig eth0 promisc
    • 对DNS缓存表进行修改:vim /etc/ettercap/etter.dns,在microsoft sucks一栏添加两条以下记录
      www.gitee.com/ A 192.168.99.116 //为攻击机IP
      www.cnblogs.com A 192.168.99.116 //为攻击机IP
    • 开启ettercap:ettercap -G
  • 按图中设置,设置完成后打钩开始嗅探

在这里插入图片描述

  • 点击左上角的搜索图标,然后点击列表图标,即可看到存活主机信息,如下:

在这里插入图片描述

  • 将kali网关的IP添加到target1,靶机IP添加到target2:

在这里插入图片描述

  • 点击右上角三个点图标,选择Plugins->Manage plugins

在这里插入图片描述

  • 找到dns_spoof即DNS欺骗插件,双击选择:

在这里插入图片描述

  • 在靶机cmd中ping www.gitee.com,发现解析的地址是攻击机的IP,并且ettercap捕获到一条记录:

在这里插入图片描述
在这里插入图片描述

返回目录

结合应用两种技术,用DNS spoof引导特定访问到冒名网站

  • 按照任务一的步骤克隆一个登录页面(我这里是码云的)

在这里插入图片描述

  • 按照任务二的步骤实施DNS欺骗,此时www.cnblogs.com(博客园网址)的解析地址已经被我们设置为了攻击机地址

在这里插入图片描述

  • 靶机中输入网址www.cnblogs.com,显示出来的网页却是码云的登录界面

在这里插入图片描述

  • 此时攻击机中ettercap看见一条记录:

在这里插入图片描述

  • 靶机在该登录界面输入用户名和密码,发现攻击机这边获取了相关信息,可以看到用户名,但是密码是加密的:

在这里插入图片描述

返回目录

老师提问

通常在什么场景下容易受到DNS spoof攻击?

  • 回答:我们这次用的是两个设置为桥接模式的虚拟机进行实验,这说明在同一局域网下,易受DNS spoof攻击;据之前的学习,在公共网络中也可能遭受该攻击。

在日常生活工作中如何防范以上两攻击方法?

  • 回答:
    • 使用入侵检测系统,可以检测出大部分的DNS欺骗攻击
    • 不连陌生且不设密的公共WiFi,给黑客机会
    • 直接使用IP地址访问,对个别信息安全等级要求十分严格的WEB站点尽量不要使用DNS进行解析。

返回目录

所遇到的问题及其解决方法

  • 基本没遇到啥问题,攻击不成功通常就重启下SET和ettercap就好了。

返回目录

实验感想

  • 通过做这次实验,自己终于体验了一把“久仰大名”的DNS欺骗。DNS欺骗原理简单,就是没想到实现起来也很简单。自己在一些公共场所总是发现并连接一些免费且不设密的WiFi而高兴,其实这样的小便宜不要去占,很容易就被黑客窃取到重要的账户信息。不过在实验中也发现,现在登录密码在网页中进行传输全是以加密形式,相对来说比明文传输要好很多,但是也要提防,毕竟还有密码分析学在那里呢!

返回目录

参考资料

返回目录

posted @ 2020-05-04 17:25  20175227  阅读(296)  评论(0编辑  收藏  举报