2019-2020-2 20175316 盛茂淞 《网络对抗技术》 Exp7 网络欺诈防范
一.实践原理与说明
实践原理
-
Linux apachectl
命令可用来控制Apache HTTP服务器的程序,用以启动、关闭和重新启动Web服务器进程。 -
apachectl
是slackware内附Apache HTTP服务器的script文件,可供管理员控制服务器,但在其他Linux的Apache HTTP服务器不一定有这个文件。 -
语法
apachectl [configtest][fullstatus][graceful][help][restart][start][status][stop]
configtest
检查设置文件中的语法是否正确。fullstatus
显示服务器完整的状态信息。graceful
重新启动Apache服务器,但不会中断原有的连接。help
显示帮助信息。restart
重新启动Apache服务器。start
启动Apache服务器。status
显示服务器摘要的状态信息。stop
停止Apache服务器。
-
EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具。
- 它具有动态连接嗅探、动态内容过滤和许多其他有趣的技巧。
- 它支持对许多协议的主动和被动分析,并包含许多用于网络和主机分析的特性。
- 主要适用于交换局域网络,借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输。
实践目标
- 本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有:
(1)简单应用SET工具建立冒名网站 (1分)
(2)ettercap DNS spoof (1分)
(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。(1.5分)
(4)请勿使用外部网站做实验
实践环境
- Windows 10
- Kali
- Windows XP
基础问题回答
(1)通常在什么场景下容易受到DNS spoof攻击
- 当我们在同一网段(局域网)下容易受到DNS spoof攻击,攻击者可以冒充域名服务器,修改目标主机的DNS缓存表,这样打开的网页就是冒充的
- 公共场所的免费WiFi最容易受到攻击,因为你发的数据都会经过他的路由器
(2)在日常生活工作中如何防范以上两攻击方法
- 不要随便连接公共的WiFi,最好平时出门之后把WiFi关掉,以防自动连接,不给不法分子可乘之机
- 可以将IP地址和MAC地址进行绑定
- 打开网页的时候,注意查看网址是否被篡改
- 使用入侵检测系统,可以检测出大部分的DNS欺骗攻击
实践内容与步骤
任务一:简单应用SET工具建立冒名网站
-
攻击机:kali
-
靶机:windows 10
-
由于要将钓鱼网站挂在本机的http服务下,所以需要将SET工具的访问端口改为默认的80端口。使用
sudo vi /etc/apache2/ports.conf
命令修改Apache的端口文件,将端口改为80
-
在kali中使用
netstat -tupln |grep 80
命令查看80端口是否被占用。如果有,使用kill+进程号杀死该进程。如下图所示,无其他占用:
-
使用
sudo apachectl start
开启Apache服务: -
输入
sudo setoolkit
打开SET工具:
-
选择1:
Social-Engineering Attacks
社会工程学攻击![]
-
选择2:
Website Attack Vectors
钓鱼网站攻击向量
-
选择3:
Credential Harvester Attack Method
即登录密码截取攻击
-
选择2:
Site Cloner
进行克隆网站
-
输入攻击机IP:
192.168.136.128
即Kali的IP
-
在提示
“Do you want to attempt to disable Apache?”
,选择y
-
在靶机上(我用的Windows)输入攻击机IP:192.168.136.128,按下回车后跳转到被克隆的网页,在kali就可以看到用户输入的数据信息
-
换个网页试试能不能记录用户名密码信息
(咦登录用户名密码信息没有了,不知道是不是没加载出来还是浏览器的问题)
任务二:ettercap DNS spoof
-
使用
ifconfig eth0 promisc
将kali网卡改为混杂模式;
-
输入命令
vi /etc/ettercap/etter.dns
对DNS缓存表进行修改,如图所示,可以添加几条对网站和IP的DNS记录,图中的IP地址是我的kali主机的IP:
www.mosoteach.cn A 192.168.136.128 //IP要换成自己的kali主机IP
www.cnblogs.com A 192.168.136.128
https://www.cnblogs.com/sms369/p/12820551.html A 192.168.136.128
-
使用
ettercap -G
开启ettercap -
在选择好网卡
eth0
后点击√
开始监听
-
在右上角的选择
Hosts——>Scan for hosts
扫描子网
-
点击
Hosts——>Hosts list
查看存活主机 -
虚拟机的网关为192.168.136.2,靶机WindowsXP的IP为192.168.136.142
-
将网关的IP添加到target1,将靶机IP添加到target2
-
点击工具栏中的
Plugins——>Manage the plugins
-
选择
dns_spoof
即DNS欺骗的插件,双击后即可开启
-
此时已经处于嗅探模式,在靶机中执行
ping www.cnblogs.com
命令,kali端看到反馈信息如下:
任务三:结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
-
综合使用以上两种技术,首先按照任务一的步骤克隆一个登录页面,在通过任务二实施DNS欺骗,此时在靶机输入网址
http://www.cnblogs.com/
可以发现成功访问我们的冒名网站 -
首先重复任务一,将蓝墨云登陆地址与kali的IP:
192.168.136.128
关联 -
按照任务二的步骤实施DNS欺骗,此时
www.cnblogs.com
的解析地址已经被我们设置为了攻击机地址 -
靶机中输入网址
www.cnblogs.com
,显示出来的网页却是蓝墨云的登录界面
-
此时攻击机中ettercap看见一条连接记录
-
靶机在该登录界面输入用户名和密码,发现攻击机这边获取了相关信息,可以看到用户名、密码
三、实践过程中遇到的问题及解决方法
-
问题一:在使用ettercap嗅探时并未出现网关地址
-
解决办法:一开始我的kali为桥接模式,改为NAT模式后就可扫描出,以此靶机使用NAT模式的win7虚拟机。
-
问题二:使用ettercap进行DNS欺骗时,靶机ping后并没有发生变化。
-
解决办法:在靶机的cmd中输入ipconfig确认网关的IP地址,发现我的winxp虚拟机为192.168.136.142,win10主机却为192.168.136.1,随后将target1换为winXP的网关后,ping命令出现的就是攻击机kali的IP了!
四、实践心得与体会
- 通过本次实验,在学习利用各种工具克隆网页,制作一个钓鱼网站,并将自己的IP伪装,通过实践监控靶机的输入,获取用户名密码等信息,感觉自己离成为真正的攻击者更进了一步,但与此同时,作为一个普通的用户,我们也要多加防范这些钓鱼网站,以免被非法获取个人信息