2019-2020-2 20175222 《网络对抗技术》 Exp7 网络欺诈防范

实践目标

本实践目标是掌握metasploit的基本应用方式,重点常用的三种攻击方式的思路。

回答实践问题

1.通常在什么场景下容易受到 DNS spoof 攻击?

  • 在使用公用网络时容易收到 DNS spoof 攻击。例如:火车站、购物中心、娱乐中心等等。

2.在日常生活工作中如何防范以上两攻击方法?

  • DNS 欺骗的前提是 ARP 欺骗,防范 ARP 欺骗可以有效防范DNS 欺骗。
  • 可以自己手动添加正确的 host 到 HOSTS 文件中,不在经过网关进行相关网站的 DNS 解析。
  • 避免使用公用网络。如果一定情况下要使用公用网络,避免访问要输入账户、密码的网站。
  • 现在防火墙或者浏览器本身,会对访问不安全的网站时都会提示“不安全,是否继续访问?”,这时就不要继续了。
  • 如果已经被 DNS 欺骗攻击了,一定要刷新 DNS 缓存表,并不再连入问题网络。

实践过程

简单应用SET工具建立冒名网站

启用 Apache2

  • 启用 Apache2:   sudo /etc/init.d/apache2 start

    如果 Apache2 已启用,这时以 HTTP 访问 kali IP 地址,会出现:

建立蓝墨云冒名网站

  • 使用setoolkit打开SET工具

  • 选择1:Social-Engineering Attacks即社会工程学攻击

  • 选择2: Website Attack Vectors即钓鱼网站攻击向量

  • 选择3: Credential Harvester Attack Method即登录密码截取攻击

  • 选择2:Site Cloner进行克隆网站

  • 输入建立冒名网站相关信息

    • 输入 kali IP 作为冒名网站的地址:192.168.28.131

    • 输入克隆 URL :https://www.mosoteach.cn/web/index.php?c=passport&m=index

输入用户名及口令登录

  • 通过 kali IP 访问冒名网站:http://192.168.28.131

  • 输入用户名及口令登录

  • setoolkit 接收到用户名、口令。

尝试blibli登录冒名网站

  • 更换 URL 为blibli登录页面

    访问结果:冒名失败,会自动跳转至blibli,无法获取用户名密码信息。

    说明简单的克隆门户页面等攻击是可以通过良好的机制来防御的。

ettercap DNS spoof

预先修改

  • 将 eth0 网卡改为混杂模式。

    sudo ifconfig eth0 promisc

  • 修改要改变的 DNS 缓存表:

    sudo nano /etc/ettercap/etter.dns
  • 添加 DNS 记录www.baidu.com A 192.168.28.131

开启 ettercap

  • 开启 ettercap :sudo ettercap -G

  • 点击sniff选择Unified sniffing,选择网卡eth0 。

  • 点击 Hosts -> Scan for hosts然后查看扫描到的存活主机,点击Hosts -> Host list

  • 将网关的 IP 添加到 target1,将靶机 IP 添加到 target2。

  • 网关 IP :192.168.28.2 ,靶机 IP :192.168.28.133 。网关IP在靶机中ipconfig查看。
  • 添加结果:

启用 ARP 欺骗

  • 点击Mitm,选择 ARP poisoning 。

  • 勾选 sniff remote connections ,点击 OK 。

启用 dns_spoof 模块

  • 点击 Plugins -> Manage the plugins -> dns_spoof 。

  • 这时,靶机 ping www.baidu.com ,可以看到 IP 地址为:192.168.28.131 。

    也可以看到访问这个域名的请求。

DNS spoof 引导访问冒名网站

结合应用两种技术,用DNS spoof引导特定访问到冒名网站 。

  • 按照实践步骤一:使用 setoolkt 建立蓝墨云冒名网站。

  • 按照实践步骤二:将 www.baidu.com 域名的 DNS 指向 kali IP 。

    • DNS 欺骗后,访问 www.baidu.com 域名网页。

  • 输入用户名及口令登录。

刷新靶机 DNS 缓存表

  • Windows 下使用如下命令刷新 DNS 缓存表。

  • ipconfig /flushdns
  •  

  • 这时访问 www.baidu.com 域名网页,显示正常。

实现总结与体会

  • 这次实验只是简单建立了某些网站的门户冒名网站,并没有克隆更多的网站信息。
  • 实验中也没有为 Apache2 配置 SSL 证书。所以一旦访问冒名、欺骗后的网站,都会提示不安全。当然这个问题也可以通过自建 CA 来实现自签名 SSL 证书来解决。
  • 所以使用公用网络可能会受到各种各样的攻击,尽量不要使用公用网络。
  • DNS 欺骗的前提是 ARP 欺骗,防范 ARP 欺骗可以有效防范DNS 欺骗。
  • 可以自己手动添加正确的 host 到 HOSTS 文件中,不在经过网关进行相关网站的 DNS 解析。
posted @ 2020-05-16 22:39  20175222罗雨石  阅读(158)  评论(0编辑  收藏  举报