网络对抗技术 20192424 Exp7 网络欺诈防范

1.实践原理说明

1.1 实践目标

本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。

1.2 实践内容

1.2.1 简单应用SET工具建立冒名网站（1分）
1.2.2 ettercap DNS spoof （1分）
1.2.3 结合应用两种技术，用DNS spoof引导特定访问到冒名网站。（2分）
1.2.4 请勿使用外部网站做实验

2.实践过程记录

2.1 简单应用SET工具建立冒名网站

Step1：将SET工具的访问端口改为80端口
- 我们要建立一个钓鱼网站，然后把他挂在本机的http服务下，要使用的端口是80端口。所以我们需要将SET工具的访问端口改为80端口。
- 我们输入命令： sudo vi /etc/apache2/ports.conf 修改Apache的端口文件，可以看到，此时set工具的访问端口已经是80端口了，所以就不需要修改了，如果不是80，我们要将端口号修改为80，如下图所示：
Step2：查看80端口是否被占用
- 输入命令 netstat -tupln |grep 80
- 可以看到80端口并未被占用。
- 如果有进程占用了这个端口，可使用命令 kill+进程号结束该进程
Step3：开启Apache服务
- 输入命令 apachectl -k start 开启Apache服务
Step4：启动set工具
- 在kali攻击机输入命令 setoolkit
- 输入y进入set界面
Step5：选择攻击方式
- 选择2，钓鱼网站攻击向量
- 选择3，认证获取攻击
- 选择2，站点克隆
- 接着输入kali的ip地址192.168.189.135
- 输入要被克隆的网站：这里我克隆的是知乎登录界面
- 接下来在“Do you want to attempt to disable Apache?”的后面输入 y
- 进入克隆网站
- 在攻击机kali端我们已经可以看到靶机的访问信息了。如果用户在靶机上输入用户名密码登录，还可以获取输入的用户名和密码。
- 为什么会出现这种情况？我推测应该是网站克隆时把前端的加密js函数一起克隆了，所以用户，密码是密文不可见
Step6：迷惑一下
- 一般不可能让受害者直接访问我们的ip地址，我们百度短网址生成器，选中网站https://www.dwz.lc/伪装一下我们的网址。如下图所示：
- 成功实现伪装网址

2.2 ettercap DNS spoof

Step1：将网卡设为混杂模式
- 我们需要输入命令 ifconfig eth0 promisc ，将网卡设为混杂模式，这样就能接收所有经过它的数据流
- 使用ifconfig eth0检查
Step2：修改DNS缓存表
- 输入命令 gedit /etc/ettercap/etter.dns 对DNS缓存表进行修改。
- 在这里我添加了一条记录：www.4399.com A 192.168.189.135
Step3：ettercap -G可视化界面
- 接着，我们输入命令 ettercap -G 启动ettercap可视化界面
- 我们选择好网卡为eth0 ，并且点击√开始监听
- 在右上角的工具栏中选择 Hosts——>Scan for hosts 扫描子网
- 点击 Hosts——>Hosts list ，查看存活主机
- 发现靶机
- 输入命令route -n 查看kali网关
- 攻击机kali的网关为 192.168.189.2 ，靶机Windows7的IP为 192.168.189.152
- 将攻击机网关的IP添加到target1，将靶机IP添加到target2
- 点击右上角工具栏中的 Plugins——>Manage the plugins
- 双击开启 dns_spoof ，也就是DNS欺骗的插件
- 点击左上角开始，此时处于嗅探模式下
- 在靶机中对刚刚在DNS缓存表中添加的网站执行ping命令，结果如下：
- 可以看到，这几个网站的ip地址都变成了kali攻击机的地址了。
- kali端看到反馈信息如下：