20192420 任文朗 2021-2022-2 《网络与系统攻防技术》实验七实验报告

实验七 网络欺诈与防范


一、实践内容

本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有

(1)简单应用SET工具建立冒名网站

(2)ettercap DNS spoof

(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站

二、实践目的

2.1 实践目的

· 理解常用网络欺诈背后的原理

· 掌握具体的防范方法

2.2 实验所涉及的知识点

· setoolkit介绍
	开源的社会工程学利用套件,通常结合metasploit来使用。Social-Engineer To  
olkit专门用于社会工程的高级攻击包。SET由 David Kennedy(ReL1K)编写,并在社区人  
员的大量帮助下,它包含了以前从未见过的攻击工具集。渗透测试期间,工具包中内置的攻击工  
具可以进行有针对性地集中攻击。SET 的主要目的是自动化并改进社会工程学攻击。它能够自动  
生成隐藏了EXP的网页或电子邮件、木马文件、消息,同时还能使用Metasploit 的 payload,  
例如网页一旦被打开便会连接shell。该版本的 SET 可植入多种 powershell 并进行任意端  
口的转发,同时SET不会触及硬盘且使用已经进入白名单的进程,因此不会触发杀毒软件的报警

· DNS欺骗原理
	介绍:冒充域名服务器,将查询的IP地址设置为攻击者的IP地址,这样用户上网就只  
能看到攻击者主主页,而不是用户访问的真实的页面。下两幅图为正常情况与异常情况下的用户  
请求网页的过程

· ARP欺骗原理(举例)
1.主机A要和主机C通信,主机A发出ARP包询问谁是192.168.1.3?请回复192.168.1.1
2.这时主机B在疯狂的向主机A回复,我是192.168.1.3,我的地址是0A-11-22-33-44-02
3.由于ARP协议不会验证回复者的身份,造成主机A错误的将192.168.1.3的MAC映射为0A-11-  
22-33-44-02

· Ettercap介绍
	EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具,主要适用于交换局域网络。  
借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措  
施,避免敏感的用户名/密码等数据以明文的方式进行传输。ettercap几乎是每个渗透测试人员  
必备的工具之一

三、实践过程

3.1 任务一 简单应用SET工具建立冒名网站

· step1:将SET工具的访问端口改为80端口
	因为我们要建立一个冒名网站(钓鱼网站),然后把这个网站挂在本机的http服务下,  
所以我们要将SET工具的访问端口改为80端口

	在root身份下输入命令 vi /etc/apache2/ports.conf ,修改Apache的端口文  
件,如下图所示(一般情况下监听端口默认为80,所以可以不需要修改)

· step2:查看本机的80端口是否被其他进程占用
	输入命令 netstat -tupln |grep 80 ,可以查看80端口是否被其他进程占用,如  
下图结果所示,我们可以发现该端口并未被其他进程占用(如果其他进程占用,可以使用 kill+  
进程号 结束该进程)

· step3:开启Apache服务
	输入命令 systemctl start apache2 ,开启Apache服务,如下图所示

· step4:启动set工具
	输入命令 setoolkit ,启动set工具服务,如下图所示

· step5:选择攻击方式
	选择1,社会工程学攻击

	选择2,钓鱼网站攻击向量

	选择3,认证获取攻击

	选择2,站点克隆

	然后输入kali的IP地址,并输入想要克隆的网址(这里我们选择的是珍爱网)

	在我们的主机上输入kali的ip地址(192.168.42.132)之后,我们就可以打开我们  
的克隆网页了

	ps:如果用户在靶机上输入用户名密码登录,还可以获取输入的用户名和密码。

· step6:伪装操作
	一般我们不能直接让用户访问我们的IP地址,所以我们需要使用短网址生成器伪装一下  
我们的网址,如下图所示

	接着在主机上输入这个网址,我们可以发现仍然能够跳转到我们克隆的那个页面

3.2 任务二 ettercap DNS spoof

· step1:将kali中的网卡设置为混杂模式
	我们需要输入命令 ifconfig eth0 promisc ,将网卡设为混杂模式,这样就能接  
收所有经过它的数据流,如下图所示

	接下来我们使用命令 ifconfig eth0 进行检查,如下图所示,我们可以看到已经设  
置成功,如下图所示

· step2:修改kali中的DNS缓存表
	我们可以输入命令 vi /etc/ettercap/etter.dns 对kali的DNS缓存表进行修改
	在这里一共添加了三条记录,如下图所示:
	www.mosoteach.cn A 192.168.42.132
	www.cnblogs.com  A 192.168.42.132
	www.bilibili.com A 192.168.42.132

· step3:启动ettercap可视化界面
	我们可以输入命令 ettercap -G 启动ettercap可视化界面,效果如下图所示

	我们选择之前配置好的网卡eth0,并且点击 √ 开始监听,如下图所示

	在ettercap的操作界面右上角点击工具栏,选择 Hosts——>Scan for hosts 扫描  
子网(扫描之前需要打开一个靶机,这里我们选择的是Windows 7(64位)),如下图所示

	接下来再点击 Hosts——>Hosts list,查看存活的主机,如下图所示

	输入命令 route -n 或者是命令netstat -rn ,可以查看kali虚拟机的网关地址  
(192.168.42.2),如下图所示

	从扫描子网的结果来看,我们可以发现有攻击机kali的网关地址 192.168.42.2 ,  
也有我们靶机Windows 7的IP地址  192.168.42.135 ,将攻击机网关的IP添加到target1,  
将靶机IP添加到target2,如下图所示

	然后点击右上角工具栏的Plugins——>Manage the plugins,如下图所示

	双击开启 dns_spoof,如下图所示

	点击左上角的方框开始,此时ettercap处于嗅探模式下工作,如下图所示

 	在靶机中对刚刚在DNS缓存表中添加的网站执行ping命令操作,观察这些网站返回的IP  
地址,可以看到这三个网站的ip地址都变成了kali的IP地址了,结果如下图所示

	我们再看看kali端收到的反馈信息,如下图所示

3.3 任务三 结合应用两种技术,用DNS spoof引导特定访问到冒名网站

	· step1:按照任务一的实践步骤克隆一个登录页面
		这里我选择的是码云的登录界面(gitee.com/login)

	· step2:使用ettercap DNS spoof技术进行DNS欺骗
		使用set工具通过kali攻击机的地址,跳入克隆后的冒名钓鱼网站,这里我  
输入的是www.4399.com,会弹出gitee.com/login的页面(由于浏览器版本原因暂时不支持4  
399网页的http传输),所以会出现如下图所示的结果

四、问题及解决方案

4.1 问题一

· 问题描述
	在进行克隆网站实践操作时,输入想要克隆的网址后set工具并没有正常放回,而是一  
直卡在这个界面

· 解决方案
	重启虚拟机,再次通过调整端口信息,启动apache服务和启动set工具即可解决该问题

4.2 问题二

· 问题描述
	在进行DNS欺骗实践操作时,在ettercap完成配置后,在靶机首次输入ping命令时,  
返回的IP地址并不是kali攻击机的地址,但是再次输入后就能成功返回kali攻击机的地址

· 解决方案
	暂时猜测是不是跟缓存表的更新有关

五、学习感悟及思考

这是本学期网络攻防课的第七次实验,本次实验的目的是实现简单的网络欺骗手段。本次实验相较于前几次实验来说更加简单,但简单归简单,我还是通过这次实验学到了很多知识。在这次实验中我能够灵活运用相关的欺骗工具,还学到了很多相关的欺骗原理等。虽然在其中不免遇到了很多困难,但是在老师和同学的帮助下我还是一一解决了这些问题,实现了自我的进步。
通过这次实验,我也明白了当我们处在同一局域网下很容易受到DNS spoof攻击,所以要在日常生活中做好防范工作,(1)首先就是不要连接来路不明的网络链接,(2)访问网站的时候要注意网址信息是否正确,(3)不在来源不明的网页上输入个人信息以及密码口令这种重要的信息,(4)在平时选择网站时选择可靠的大网站(大网站安全方面做的较好)
通过这次实验,我也意识到了学好网络攻防课的核心在于实践,虽然老师课上讲的东西很多,但是通过自己的实践将这些知识灵活运用,却是对知识的最好把握,相信在之后的实验课中能够学到更多的东西,提升自己的能力。

六、参考资料

· set工具集的基础使用 https://blog.csdn.net/whoim_i/article/details/102674167
· EtterCap概述及使用 https://zhuanlan.zhihu.com/p/136556322
· ARP欺骗原理及实现 https://zhuanlan.zhihu.com/p/374650070
posted @ 2022-05-25 11:14  任文朗  阅读(122)  评论(0编辑  收藏  举报