2019-2020-2 《网络对抗技术》 Exp7 网络欺诈防范

实践目标

本实践目标是掌握metasploit的基本应用方式，重点常用的三种攻击方式的思路。

回答实践问题

1.通常在什么场景下容易受到 DNS spoof 攻击？

• 在使用公用网络时容易收到 DNS spoof 攻击。例如：火车站、购物中心、娱乐中心等等。

2.在日常生活工作中如何防范以上两攻击方法？

• DNS 欺骗的前提是 ARP 欺骗，防范 ARP 欺骗可以有效防范DNS 欺骗。
• 可以自己手动添加正确的 host 到 HOSTS 文件中，不在经过网关进行相关网站的 DNS 解析。
• 避免使用公用网络。如果一定情况下要使用公用网络，避免访问要输入账户、密码的网站。
• 现在防火墙或者浏览器本身，会对访问不安全的网站时都会提示“不安全，是否继续访问？”，这时就不要继续了。
• 如果已经被 DNS 欺骗攻击了，一定要刷新 DNS 缓存表，并不再连入问题网络。

实践过程

简单应用SET工具建立冒名网站

启用 Apache2

• 启用 Apache2

  sudo /etc/init.d/apache2 start
  

  如果 Apache2 已启用，这时以 HTTP 访问 kali IP 地址，会出现：

  

建立蓝墨云冒名网站

• 使用setoolkit打开SET工具

  

• 选择1：Social-Engineering Attacks即社会工程学攻击

• 选择2: Website Attack Vectors即钓鱼网站攻击向量

  

• 选择3: Credential Harvester Attack Method即登录密码截取攻击

  

• 选择2:Site Cloner进行克隆网站

  

• 输入建立冒名网站相关信息

  • 输入 kali IP 作为冒名网站的地址：192.168.3.33

  • 输入克隆 URL ：https://www.mosoteach.cn/web/index.php?c=passport&m=index

  

输入用户名及口令登录

• 通过 kali IP 访问冒名网站：http://192.168.3.33

  

• 输入用户名及口令登录

• setoolkit 接收到用户名、口令。

尝试阿里云登录冒名网站

• 更换 URL 为阿里云登录页面

  

  访问结果：在冒名网站无法使用登录模块。

  

  说明简单的克隆门户页面等攻击是可以通过良好的机制来防御的。

ettercap DNS spoof

预先修改

• 将 eth0 网卡改为混杂模式。

  sudo ifconfig eth0 promisc
  

• 修改要改变的 DNS 缓存表：

  sudo nano /etc/ettercap/etter.dns
  

• 添加 DNS 记录

  www.baidu.com A 192.168.3.33
  

  

开启 ettercap

• 开启 ettercap ：

  sudo ettercap -G
  

• 设置 Primary interface 为 eth0 ，点击 √ 完成设置。

  

• 点击右上角竖着的三点样式的按钮，开始扫描子网。

  • 点击 Hosts -> Scan for hosts

    扫描结果提示。

    

  • 然后查看扫描到的存活主机，点击Hosts -> Host list。

    

• 将网关的 IP 添加到 target1，将靶机 IP 添加到 target2。

  • 这里我的网关 IP ：192.168.3.1 ，靶机 IP ：192.168.3.4 。

  

  

  添加结果：

  

启用 ARP 欺骗

• 点击圆圈标红图标，选择 ARP poisoning 。

  

• 勾选 sniff remote connections ，点击 OK 。

  

• 启用结果提示：

  

启用 dns_spoof 模块

• 点击右上角竖着的三点样式的按钮。

  • 点击 Plugins -> Manage the plugins -> dns_spoof 。

  

• 这时，靶机 ping www.baidu.com ，可以看到 IP 地址为：192.168.3.33 。

  

  也可以看到访问这个域名的请求。

  

• 注意：在没有启用 Apache2 的情况下，通过浏览器访问 www.baidu.com 的冒名网站，无法正常访问。

  

DNS spoof 引导访问冒名网站

结合应用两种技术，用DNS spoof引导特定访问到冒名网站 。

• 按照实践步骤一：使用 setoolkt 建立蓝墨云冒名网站。

• 按照实践步骤二：将 www.yogile.icu 域名的 DNS 指向 kali IP 。

  • 原 www.yogile.icu 域名网页。

    

  • DNS 欺骗后，访问 www.yogile.icu 域名网页。

    

• 输入用户名及口令登录。

刷新靶机 DNS 缓存表

• Windows 下使用如下命令刷新 DNS 缓存表。

  ipconfig /flushdns
  

  

• 这时访问 www.yogile.icu 域名网页，显示正常。

  

实现总结与体会

• 这次实验只是简单建立了某些网站的门户冒名网站，并没有克隆更多的网站信息。
• 实验中也没有为 Apache2 配置 SSL 证书。所以一旦访问冒名、欺骗后的网站，都会提示不安全。当然这个问题也可以通过自建 CA 来实现自签名 SSL 证书来解决。
• 所以使用公用网络可能会受到各种各样的攻击，尽量不要使用公用网络。
• DNS 欺骗的前提是 ARP 欺骗，防范 ARP 欺骗可以有效防范DNS 欺骗。
• 可以自己手动添加正确的 host 到 HOSTS 文件中，不在经过网关进行相关网站的 DNS 解析。