20222418 2024-2025-1 《网络与系统攻防技术》实验七实验报告
1.实验内容
本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有
(1)简单应用SET工具建立冒名网站
(2)ettercap DNS spoof
(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
2.实验过程
(1)简单应用SET工具建立冒名网站
cat /etc/apache2/ports.conf查看apache工具的默认端口,发现是80端口,于是就不用修改了:
netstat -tupln |grep 80查看本机的80端口是否被其他进程占用。
输入systemctl start apache2命令打开apache2服务,然后输入 setoolkit ,启动set工具,然后选择社会工程学攻击:
然后选择2 Website Attack Vectors网站攻击。
选择3 Credential Harvester Attack Method。
Credential Harvester Attack Method,即凭证收集器攻击方法,是一种网络钓鱼攻击手段。这种攻击通过伪装成合法的实体或机构,诱骗用户提供敏感信息,如用户名、密码等,从而获取用户的凭证。
具体来说,攻击者通常会利用各种技术手段来实施这种攻击,如创建虚假的登录页面、利用浏览器自动填充功能诱导用户泄露凭证等。一旦用户被误导并输入了敏感信息,攻击者就可以轻松地窃取这些凭证,进而可能进行进一步的非法活动,如访问用户账户、窃取个人信息等。
选择2 Site Cloner,输入攻击机ip地址192.168.22.41和模板网站:
在主机中输入192.168.22.41,访问钓鱼网站,输入账号密码,会出现用户名明文和加密后的密码:
(2)ettercap DNS spoof
Ettercap DNS spoof(欺骗)是指使用Ettercap工具来执行DNS欺骗攻击的行为。
Ettercap是一个功能强大的网络嗅探和中间人攻击(MITM)工具,它支持多种网络协议,如HTTP、FTP、DNS等,并提供了丰富的插件和过滤功能。
DNS欺骗是一种网络攻击手段,攻击者冒充域名服务器,将用户查询的IP地址更改为攻击者的IP地址,从而使用户访问到攻击者提供的虚假网页。
输入ifconfig eth0 promisc设置网络为混杂模式:
ifconfig 是用于配置和显示Linux内核中网络接口参数的命令行工具,eth0 通常指的是第一个以太网接口(网络接口卡),而 promisc 是混杂模式的简写。
混杂模式允许网络接口接收所有经过它的数据包,而不仅仅是那些目的地址为该网络接口的数据包。在正常模式下,网络接口会忽略目的地不是自己的数据包。但在混杂模式下,它会捕获所有数据包,这对于网络监控和分析工具(如网络入侵检测系统、数据包嗅探器等)非常有用。
vi /etc/ettercap/etter.dns修改dns缓存表,需要输入目标的网址,这里输入了www.baidu.com和www.csdn.net:
输入ettercap -G进入到可视化界面(这里需要等待一下),然后点击“√”启动(这里也需要等待一下):
终端输入route -n 查看网关为192.168.22.182:
在ettercap右上角菜单处选择hosts-hists list
找到网关地址192.168.22.182和靶机地址192.168.22.236。(如果没有的话可以点击上面放大镜一样的图标进行扫描)
将网关设置成target1,靶机地址设置成target2:
点击右上角MITM(中间人攻击)菜单选择ARP Poisoning(ARP协议欺骗)开启:
再点右上角菜单-plugins-Manage plugins,进入后双击dns_spoof启用DNS欺骗。
然后打开靶机ping之前添加的域名:
百仍然是110.242.68.66,说明baidu的这方面还是很全的,而ping www.csdn.net显示的ip地址是192.168.22.41(攻击机地址),说明dns欺骗成功了。
(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
这时攻击机ip为192.168.1.112,靶机为192.168.1.116,网关为192.168.1.1
实验步骤和上两步相同,这里选择的网站是天翼快递。
当用户打开浏览器访问www.tykd.com则被诱导进入了钓鱼网站:
然后我尝试了复制网站时把https://www.tykd.com换成登陆页面https://www.tykd.com/User/login/,让用户在浏览器输入www.tykd.com就会直接跳转到登陆页面,诱导用户输入用户名和口令。但这时捕捉到的和上面相似,不能捕获到用户名密码,页面也非常简陋:
于是我又把克隆的网页换成了http://www.tykd.com/User/login/,同样用户在浏览器输入www.tykd.com就会直接跳转到这个登陆页面,但这时的页面和原本的天翼快递已经完全相同了,用户输入用户名密码时能看到明文的用户名和口令:
(这里输入的是www.tykd.com,解析为了192.168.1.112)
↑这一张是在win11主机访问天翼快递登陆页面的效果,完全一样。
这样引导访问到钓鱼网站就成功了。
3.问题及解决方案
- 问题1:apache2启动报错,检查80端口发现不出结果
- 问题1解决方案:
vim /etc/apache2/apache2.conf,最后加入一句: ServerName localhost:80
再检查并查看80端口即正常:
- 问题2:启动ettercap时报错
按照网上的方法切换root直接启动不使用sudo启动仍然有报错。检查该路径确实存在且有权限打开:
- 问题2解决方案:看到ibus经常有这种警告不会影响使用,并且找了很多教程没有找到有效的解决方法遂选择忽略。
4.学习感悟、思考等
这次试验原本是步骤较少且简单应该很好完成的,但中途总是出现各种问题,磕磕绊绊做完前两步之后,第三步的时候就已经很熟练了😂这次试验相比于之前的来说过程和操作以及结果都更加直观,在平时的学习中经常做的访问特定网站输入用户名和口令登陆的举动就这么水灵灵地让钓鱼网站背后的人赚到了,实在让人背后发凉。这提醒我们要提高防范意识,谨慎点击不明链接,留心注意违规行为并举报。
