20222313 2024-2025-1 《网络与系统攻防技术》实验七实验报告

1. 实验内容

1.1 实验内容简述

(1)应用SET工具建立冒名网站。

(2)利用ettercap完成DNS欺骗攻击。

(3)结合应用两种技术,使被攻击者会通过域名访问到冒名网站。

(4)结合攻击过程,提出具体防范方法。

1.2 学习内容简述

(1)学习SET工具和ettercap工具的使用。

(2)理解ARP污染、DNS欺骗攻击的原理和具体过程。

(3)理解钓鱼网站的原理,了解有效防范措施。

1.3 实验基础知识:

(1)TCP/IP攻击:原始报文捕获-Sniffer、原始报文伪造技术和Netwox/Netwag*(Netwox图形)/科来【网络报文生成与发送工具】

(2)IP源地址欺骗:Off-path Spoofing盲攻击和On-path Spoofing(路径上欺骗)

(3)ARP攻击:利用ARP欺骗进行交换网络中的嗅探;ARP欺骗构造中间人攻击,实施TCP会话劫持;ARP病毒传播;ARP欺骗挂马。

(4)ICMP路由重定向攻击攻击原理:伪装成路由器发送虚假的ICMP路由路径控制报文;使受害主机选择攻击者指定的路由路径。

(5)DNS Spoofing:当受害者尝试访问某个特定网站(例如example.com),其计算机会向DNS服务器发送一个查询请求以获取example.com的IP地址。这时,攻击者截获这个DNS请求,并代替真正的DNS服务器返回一个包含攻击者控制下的恶意网站IP地址的响应。

2. 实验过程

2.1 简单应用SET工具建立冒名网站

概述:SET(Social-Engineer Toolkit)是一个开源的渗透测试框架,专为社会工程学攻击而设计。SET工具集成了多种攻击向量,可以帮助安全研究人员和渗透测试人员模拟真实世界中的攻击场景,以评估组织的安全性并提高员工的安全意识。

使用命令setoolkit打开SET工具。

可以看到显示了很多选项,这些选项的含义如下:

  • Social-Engineering Attacks:社会工程学攻击,指利用人类心理和社会行为学原理进行的网络攻击。

  • Penetration Testing (Fast-Track):快速追踪渗透测试,一种快速评估计算机系统、网络或Web应用安全性的方法。

  • Third Party Modules:第三方模块,指用于扩展或增强软件功能的外部插件或组件。

  • Update the Social-Engineer Toolkit:更新社会工程学工具包,以确保其包含最新的攻击模拟功能和安全性修复。

  • Update SET configuration:更新SET的配置文件,可能涉及全局设置或默认设置的修改,以适应新的攻击场景或需求。

  • Help, Credits, and About:帮助、致谢和关于信息。

这里选择第1个。

这些子选项的含义如下:

  • Spear-Phishing Attack Vectors:鱼叉式网络钓鱼攻击向量,指针对特定个体或组织进行精准钓鱼攻击的方法。

  • Website Attack Vectors:网页攻击向量,通常涉及创建钓鱼网站以窃取用户凭据或执行其他恶意活动。

  • Infectious Media Generator:感染式媒介生成器,用于创建带有恶意内容的USB驱动器或其他可移动媒体,以便在插入时感染目标系统。

  • Create a Payload and Listener:创建有效载荷和监听器,用于生成和监听恶意代码,以便在目标系统上执行恶意活动。

  • Mass Mailer Attack:海量邮件攻击,通过大量发送垃圾邮件、恶意邮件或含有病毒的邮件,以达到攻击效果。

  • Arduino-Based Attack Vector:基于Arduino的硬件攻击向量,利用Arduino等开源硬件平台构建恶意设备或工具进行攻击。

  • Wireless Access Point Attack Vector:无线热点攻击向量,涉及利用无线接入点的漏洞进行攻击,以获取对网络的访问权限。

  • QRCode Generator Attack Vector:二维码攻击向量,用于生成包含恶意链接的二维码,诱导用户扫描并执行恶意操作。

  • Powershell Attack Vectors:Powershell攻击向量,利用Powershell脚本执行恶意代码,以实现对目标系统的控制或破坏。

  • Third Party Modules:第三方模块,指集成到社会工程学工具包(如SET)中的其他攻击模块或插件,以扩展其功能。

这里选择第2个。

这些子选项的含义如下:

  • Java Applet Attack Method:利用Java小程序中的漏洞执行恶意代码,进行攻击。

  • Metasploit Browser Exploit Method:使用Metasploit框架中的浏览器漏洞利用方法,远程控制或攻击目标浏览器。

  • Credential Harvester Attack Method:通过创建虚假的登录页面或钓鱼网站,收集用户的凭证信息。

  • Tabnabbing Attack Method:一种网络钓鱼攻击手法,通过改变用户浏览网页的标签及接口,诱导用户输入敏感信息。

  • Web Jacking Attack Method:顶网攻击方法,通过劫持网站或篡改其内容,诱骗用户执行恶意操作或输入敏感信息。

  • Multi-Attack Web Method:多点Web攻击方法,综合运用多种技术手段对目标网站进行攻击。

  • HTA Attack Method:利用HTA文件的特性,执行恶意代码或脚本进行攻击。

这里选择第3个。

  • Web Templates - 提供一系列预定义的网页模板,可以用来快速搭建一个看起来像合法服务的钓鱼网站。这些模板通常模仿流行的在线服务(如银行、社交媒体平台等),以增加欺骗性。

  • Site Cloner - 这个工具允许用户复制(克隆)一个现有的网站,然后对其进行修改以包含恶意内容。通过这种方式,攻击者可以创建一个与目标网站几乎完全相同的钓鱼网站,从而更容易诱骗受害者输入敏感信息。

  • Custom Import - 允许用户导入自定义的HTML代码或文件,以创建个性化的钓鱼页面。这为更高级的用户提供了灵活性,他们可以根据需要定制攻击页面的设计和功能。

这里选择第2个Site Cloner克隆一个现有的网站,而后输入克隆完整的服务器IP地址【kali攻击机的IP地址:192.168.58.129】和要克隆的网址:https://mail.besti.edu.cn/

在浏览器中输入ip地址127.0.0.1,可以看到北京电子科技学院的登录系统。

在网站中进行登录,输入用户名和密码,可以看到,kali攻击机中收到了相应的信息。

可以看到,后台确实收到了账户名和对应的密码信息,但是由于这个网站是https网站,所以密码是密文的。

尝试克隆一个http的网站天翼快递http://tykd.com/User/reg/

克隆步骤同上。可以看到,在本机上访问192.168.58.135后,显示的是天翼快递的注册界面。

2.2 ettercap DNS spoof

ettercap是一个功能强大的网络嗅探和中间人攻击工具,主要用于网络安全测试和分析。

输入命令ifconfig eth0 promisc将网卡改成混杂模式,从而可以接收任意数据包。

输入命令vi /etc/ettercap/etter.dns开始编辑文件,这是ettercap工具用于定义DNS记录和进行DNS欺骗攻击的配置文件。

在文件中添加两条DNS记录:

www.baidu.com A 192.168.58.135

*.baidu.com A 192.168.58.135

输入route -n查看网关,得到IP地址为192.168.58.2。

查询得到靶机XP的ip地址是192.168.58.133。

输入ettercap -G打开工具的命令行界面。

点击右上角的√,再点击左上角的放大镜图标,扫描局域网得到存活主机,其中包含靶机Windows Server 2016的ip地址192.168.58.135,网关的IP地址192.168.58.2。

选中[网关地址192.168.58.2] --> 点击 Add to Target1,选中[靶机winXP的IP地址192.168.58.133] --> 点击Add to Target2。

点击右上角的地球MITM,选择ARP poisoning…,点击ok。

点击右上角三个竖点Ettercap Menu->plugins->Manage plugins,双击dns_spoof,启用DNS欺骗。

在靶机命令行中输入ping www.baidu.com,发现这一域名对应的是kali虚拟机的IP地址,说明DNS欺骗攻击成功。

2.3 结合应用两种技术,用DNS spoof引导特定访问到冒名网站。

再重复2.1的步骤,打开setoolkit,依次选择第1、2、3、2个选项,开始克隆网站,选择网站http://tykd.com/User/reg/

修改/etc/ettercap/etter.dns文件,输入vim /etc/ettercap/etter.dns,添加三条记录:

tykd.com A 192.168.58.135
*.tykd.com A 192.168.58.135
www.tykd.com A 192.168.58.135

关闭ettercap菜单,再次使用命令ettercap -G打开,使用与2.2同样的步骤,先得到网关、攻击对象的IP地址,设置为target,再攻击ARP缓存表,最后双击开启dns_spoof。

在Windows XP 中访问www.tykd.com,其实访问的是靶机提供的克隆网站。这一克隆网站有了域名,更具有欺骗性。

攻击机上的反馈:

【可以看到,攻击机没有获取到邮箱和邮箱密码的信息,获取到的404】

原因可能是:

靶机上的浏览器可能缓存了原始网站的内容或设置了与原始网站关联的Cookie,这些都会影响新请求的行为。

2.4提出具体防范方法

  1. 对于网络管理员:
  • 实施严格的安全配置:为网络设备配置安全策略,明确禁止来自未经授权端口的ARP流量。

  • 部署流量监控与分析工具:安装先进的流量分析工具,实时监控网络流量,并结合IPS/IDS(入侵预防/检测系统)来识别异常活动。当检测到大量异常的ARP请求或应答时,应立即视为ARP欺骗的潜在迹象,并采取相应的应对措施。

  • 利用静态ARP表进行防御:构建并维护一个静态ARP表,确保正确的MAC地址与IP地址的对应关系。这是防御ARP攻击的一种简单而高效的方法。

  • 定期更新与升级:确保网络设备、安全软件和操作系统都保持最新版本,以修复已知的安全漏洞,并启用最新的安全功能。

  1. 对于用户:
  • 提高网络安全意识:在访问网站时,始终保持警惕,注意观察网站的域名、样式和内容是否与平时一致。任何微小的差异都可能是钓鱼网站的迹象。

  • 避免在不安全的网站上输入敏感信息:若网站没有可信的安全证书,避免输入个人信息、银行账户密码或其他敏感数据。

  • 谨慎点击链接:避免点击来路不明的链接,特别是那些通过电子邮件、社交媒体发送的链接。这些链接可能会引导用户访问恶意网站,从而遭受网络攻击。

  • 使用安全的浏览器和插件:选择知名的、经过安全认证的浏览器和插件,并定期更新它们以修复安全漏洞。

  • 解决方法:清除靶机浏览器的缓存和Cookie,确保加载的是最新的克隆网站内容。

  1. 技术防范措施
  • HTTPS Everywhere:确保浏览器安装了“HTTPS Everywhere”扩展,强制所有连接使用HTTPS加密通信,减少中间人攻击的风险。

  • DNSSEC (DNS Security Extensions):启用DNSSEC以验证DNS响应的真实性,防止DNS欺骗攻击。这可以由域名注册商或托管服务提供商配置。

  • HSTS (HTTP Strict Transport Security):服务器应设置HSTS头信息,强制客户端只通过HTTPS连接,并且缓存这个指令一段时间,防止降级攻击。

  • 安全DNS解析器:使用支持DNSSEC和其他安全特性的公共DNS服务,如Google Public DNS或Cloudflare DNS。

3. 问题及解决方案

问题1:在克隆网站的时候莫名的回到菜单栏。

问题1解决方案:退出重启即可。

4. 学习感悟、思考等

本次实验旨在深入探索社会工程工具包(SET)和ettercap的使用方法,并通过实践操作构建一个模拟钓鱼网站。在实验中,我首先运用SET工具,遵循其直观的设置指南创建了一个仿冒的登录页面。接下来,我借助ettercap实施了ARP缓存中毒与DNS欺骗攻击,篡改了目标网络环境中的DNS响应,从而将用户对合法网站的访问请求导向了我所搭建的仿冒站点。

这次实验不仅让我亲身体验到了钓鱼攻击的技术细节,还深刻认识到随着网络安全工具的普及和技术门槛的降低,发起此类攻击变得更为容易。面对日益严峻的网络安全挑战,我们不仅要强化技术防御措施,更应重视用户的安全意识教育。实验显示,即使拥有先进的防护机制,最终抵御攻击的关键仍在于用户的警惕性和判断力。因此,提升公众的网络安全素养是预防网络诈骗的重要环节。

同时,企业和社会各界也需共同努力,推广并应用如DNSSEC、HSTS等前沿安全技术和行业标准,以提高互联网生态系统的整体安全性。鉴于网络安全领域的快速变化特性,持续学习和适应新趋势至关重要。我们必须不断更新自己的知识和技术,以应对层出不穷的新威胁。

posted @ 2024-12-06 11:48  冉皓宁  阅读(22)  评论(0编辑  收藏  举报