Fork me on GitHub

网络欺诈防范

实 验 报 告

课程:网络对抗技术

班级:2012 姓名:郭幸坤 学号:20201213

实验名称:网络欺诈防范 实验日期:2023.5.15

实验目的

理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。

实验内容

  1. 简单应用SET工具建立冒名网站
  2. ettercap DNS spoof
  3. 结合应用两种技术,用DNS spoof引导特定访问到冒名网站。

实验过程

(一)简单应用SET工具建立冒名网站

1-安装setoolkit

我的 kali 刚进入 SET 就报错了......

从 github 上再搞一个

git clone https://github.com/trustedsec/social-engineer-toolkit.git
cd social-engineer-toolkit
pip3 install -r requirements.txt
python3 setup.py

2-使用网站克隆建立一个冒名网站

运行 setoolkit ,依次选择

  1. Social-Engineering Attacks
  2. Website Attack Vectors
  3. Credential Harvester Attack Method //凭证收割机
  4. Site Cloner //克隆自己写的springboot小页面

这样,kali 的 SET 就成功克隆了一个一模一样的冒名网站。

我们 win11 尝试登陆,SET 成功捕获了数据包,并解析出了明文的密码。

3-改进冒名网站的链接

用 URI 的统一格式进行对冒名网站的 URL 进行改造

[协议名]://[用户名]:[密码]@[服务器地址]:[服务器端口号]/[路径]?[查询字符串]#[片段ID]

http://www.besti.edu.cn@192.168.199.181

然后我们把 IP 地址由点分10进制,改成没有点分割的。

IP = 192 * 256^3 + 168 * 256^2 + 199 * 256^1 + 181 = 3232286645

URL : http://www.besti.edu.cn@3232286645

也能成功访问到冒名网站

4-使用网站模板建立一个冒名网站

之前都和 2(第二部分) 一样 ,最后选项选 1) Web Templates

然后我们选一个谷歌的模板吧 2. Google

然后 win11 登陆,SET 就捕获到了邮箱和密码(红字部分)

(二)ettercap DNS spoof

1-准备dns欺骗的配置文件

sudo vim /etc/ettercap/etter.dns      //将被欺骗的主机的哪些域名解析,定向到哪个 IP 地址

www.baidu.com A 192.168.199.181

补充知识:

PTR记录,是电子邮件系统中的邮件交换记录的一种;另一种邮件交换记录是A记录(在IPv4协议中)或AAAA记录(在IPv6协议中)。PTR记录常被用于反向地址解析。

简而言之:A记录解析域名到IP地址,而PTR记录解析IP地址到域名。

2-使用ettercap进行dns欺骗

2-1-攻击准备

先将网卡设置为混杂模式

ifconfig eth0 promisc

ettercap

sudo ettercap -G      //启动
选网卡,点击对号
然后点击搜索图标,扫描存活主机 
然后点击列表,查看扫描结果

2-2-实施攻击

采用命令行方式攻击

sudo ettercap -i eth0 -Tp -M arp:remote -P dns_spoof /192.168.28.136// /192.168.28.146//

受害者 ping 百度。此时受害者主机并不知道自己已经被劫持了,返回的值仍然是百度,但我们会很清楚地知道,这个通信已经被我们劫持了。

(三)用DNS spoof引导特定访问到冒名网站

1-使用set建立冒名网站

这回克隆 主机 win10 上的 flowershop/login.html, 页面是一样的。

2-用ettercap进行dns欺骗

换一个域名,把 www.besti.edu.cn 的域名,解析成 kali 的 IP

sudo vim /etc/ettercap/etter.dns      //将被欺骗的主机的哪些域名解析,定向到哪个 IP 地址

www.besti.edu.cn A 192.168.199.181

之后还是之前那一套

使用 netstat -rn找到网关 IP , add to target 1

然后把受害者 IP add to target 2

plugins -> managePlugins -> dns_spoof,找到dns欺骗插件,双击

这时候 dns 欺骗就开始了

3-ubuntu查看效果

访问 www.edu.besti.cn,结果定位到了 kali 的 set 冒名网站

输入用户名、密码

kali 的 SET 也是成功发现了用户名和密码

实验体会

不得不感慨工具的强大。SET(冒充网站) + ettercap(顶替 DNS 服务器) ,直接强制局域网内的主机访问恶意网站,就算一个没学过计算机知识的小白,也很容易上手。

现在的这种防范措施多数还是要靠厂商啊,对网络基础设备提供更多的安全性功能支持。

其实局域网里面一般也都比较安全。大家一般都是一家人,只要注意别轻易连入陌生的局域网里面,就能避免多数的这样的问题。

基础问题回答

问题1

通常在什么场景下容易受到DNS spoof攻击?

当我们在同一局域网下容易收到DNS spoof攻击。

在本次实验中,DNS 欺骗是基于 arp 欺骗的,要先用 arp 欺骗冒充网关,然后提供假冒的 DNS 服务。

再就是真正黑掉一个 DNS 服务器,这样就不用在一个局域网,也能实现 DNS 欺骗,但是这个难度比较大。

问题2

在日常生活工作中如何防范以上两攻击方法?

  1. 对于来源不明的网络不要连接
  2. 安装 arp 欺骗防火墙,能防范一些 arp 欺骗。
  3. 注意浏览器的安全提示。
  • 一方面是 https ,低级的假冒网站不会支持 https。
  • 另一方面是明文密码,如果密码在 http 数据包中是明文传输的,一些浏览器会提示你,这时候就要小心了,一般大厂的登录都不可能是明文传输密码的。
posted @ 2023-05-18 23:32  郭幸坤  阅读(49)  评论(0编辑  收藏  举报
1