2018-2019-2 网络对抗技术 20165322 Exp7 网络欺诈防范

2018-2019-2 网络对抗技术 20165322 Exp7 网络欺诈防范

目录

实验原理

实验内容与步骤

实验过程中遇到的问题

基础问题回答

实验总结与体会

实验原理

  • DNS欺骗
    • 原理:首先欺骗者向目标机器发送构造好的ARP应答数据包,ARP欺骗成功后,嗅探到对方发出的DNS请求数据包,分析数据包取得ID和端口号后,向目标发送自己构造好的一个DNS返回包,对方收到DNS应答包后,发现ID和端口号全部正确,即把返回数据包中的域名和对应的IP地址保存进DNS缓存表中,而后来的当真实的DNS应答包返回时则被丢弃。
  • SET工具
    • 社会工程学工具包(SET)是一个开源的、Python驱动的社会工程学渗透测试工具。这套工具包由David Kenned设计,而且已经成为业界部署实施社会工程学攻击的标准。
    • 使用SET可以传递攻击载荷到目标系统,收集目标系统数据,创建持久后门,进行中间人攻击等。
    • 使用方法:
      • 启动SET:setoolkit
      • 启动后里面有提示,根据需要选择即可
      • SET工具默认安装在/usr/share/set目录下
  • EtterCap
    • EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具。它具有动态连接嗅探、动态内容过滤和许多其他有趣的技巧。它支持对许多协议的主动和被动分析,并包含许多用于网络和主机分析的特性。

    • kali 2.0内置有ettercap,可用ettercap -v查看版本信息

    • 图形化界面:ettercap -G

    • 选择模式:下拉sniff选项。

    • 网卡选择默认eth0,点击确认可开始嗅探

    • 菜单处Hosts-Hosts List可查看嗅探到的主机ip地址、mac地址

    • 菜单处Mitm可选择攻击方式,包括arp 欺骗、DHCP洪泛攻击等

    • 菜单处view中可查看嗅探到的通信信息

返回目录

实验内容与步骤

(一)简单应用SET工具建立冒名网站

简单应用SET工具建立冒名网站

  • 使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件,将端口改为http对应的80号端口

  • 可以使用netstat -tupln |grep 80查看80端口是否被占用。

    • 如果没有被占用,则不会显示任何值。
    • 如果被占用了,可以使用kill+进程号杀死该进程,或使用kill -s 9 进程号强制杀死进程
  • 开启Apache服务:systemctl start apache2

  • 开启SET工具:setoolkit

  • 选择1:Social-Engineering Attacks(社会工程学攻击)

  • 选择2:Website Attack Vectors(钓鱼网站攻击向量)

  • 选择3::Credential Harvester Attack Method(即登录密码截取攻击)

  • 选择2:Site Cloner克隆网站

  • 输入攻击机kali的IP地址:192.168.132.141

  • 输入一个有需要登陆的urlhttp://www.besti.edu.cn/(咱们学校官网)

  • 这里会有一个提示,不用管他,按一下回车即可

  • 提示“Do you want to attempt to disable Apache?”,选择y

  • 在靶机上(我用的Win 10)输入攻击机IP:192.168.132.141,按下回车后跳转到被克隆的网页:

  • 不知道为啥!!只有网页代码,,我佛了,试了一下其他网站页面是ok的,应该是学校网页的问题?

  • 我们可以在攻击机上看到如下提示:

  • 如果这是一个需要用户登录的网址又会怎么样呢?

  • Apache服务只能一次性使用。因此退出以后重启Apache、SET工具,按照上述步骤重新设置一遍,新的URL设置成http://192.168.200.83/cas/login(咱们学校教务网登录界面)

  • 在靶机输入攻击者的ip地址。进入了登录界面。在里面输入自己的登录信息——即使是错误的也会被记录下来。

  • 在kali上我们可以清楚的看到对面的连接和登录信息了

  • 对https的登录网站又如何呢?

  • 为了进一步伪装攻击机IP,我们可以利用网址缩短网站,将攻击机IP输入,然后生成一个网址。这样靶机访问该网址时和直接输入IP的效果是一样的。

返回目录


(二)ettercap DNS spoof

  • 使用指令ifconfig eth0 promisc将kali网卡改为混杂模式

  • 输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改

  • 在61行添加两行代码

    www.mosoteach.cn A 192.168.132.141(kali IP)
    www.cnblogs.com A 192.168.132.141
    

  • 使用ettercap -G开启ettercap图形化界面

  • 点击工具栏中的Sniff——>unified sniffing

  • 在弹出的界面中选择eth0——>ok,即监听eth0网卡

  • 点击工具栏中的Hosts——>Scan for hosts扫描子网

  • 点击工具栏中的Hosts——>Hosts list查看存活主机

  • 将网关IP添加到target1,靶机IP添加到target2

  • 点击工具栏中的Plugins——>Manage the plugins

  • 双击选择dns_spoof即DNS欺骗的插件

  • 然后点击左上角的start——>Start sniffing选项开始嗅探

  • 靶机上输入ping www.mosoteach.cnping www.cnblogs.com,可以在Kali端看到反馈信息。这里有点奇怪,正常来说捕捉到的应该是kali的IP才是正确的,,我也不知道为什么显示成这样了,可能是抽了?或者这个攻击手段并不是100%的成功率吧

  • 相应的,靶机下显示的ping回应都是kali主机的IP,这里倒是正确了

返回目录

(三)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。

  • 实验二的ettercap不要关,继续对靶机进行DNS欺骗

  • 首先按照实验一的步骤克隆教务处网站,保证能够跳转成功

  • 这时候测试一下实验二里靶机ping www.mosoteach.cn,能够成功ping到kali上。即可以开始任务。

  • 打开靶机浏览器,输入www.mosoteach.cn,应该能够跳转到教务网的网页上,效果如下:

  • 在这个网址上输入登录信息

-可以看到kali实验一的界面成功显示了靶机输入的用户信息。

返回目录

实验过程中遇到的问题

  • 实验任务1,打开SET工具并配置好ip和网址后。偶尔会出现不弹出提示Do you want to attempt to disable Apache?的情况,此后靶机登录信息无法监测到。我检查了端口已关闭,Apache之前也已经开启。问题出在哪里我也没找出来。解决办法就是重启电脑,找个网快的地方,操作慢一点,然后看脸(猜测是因为网速问题)
  • 做实验任务2的时候修改了缓存表以后……依然会出bug,靶机win7上显示的kali的IP地址,但是kali上显示的却是正常网络的IP,很迷。
  • 任务3就更不用说啦,必须要前两个任务都不出bug才能成功,试了10多次感觉都要吐血了orz

返回目录

基础问题回答

通常在什么场景下容易受到DNS spoof攻击

  • 通常在连接不受信任的网络(例如咖啡厅的wifi)容易遭到攻击
  • 在同一局域网下比较容易受到DNS spoof攻击,攻击者可以冒充域名服务器,来发送伪造的数据包,从而修改目标主机的DNS缓存表,达到DNS欺骗的目的。

在日常生活工作中如何防范以上两攻击方法

  • 使用最新版本的DNS服务器软件,并及时安装补丁;
  • 不能乱连wifi,给攻击者可乘之机
  • 防范ARP欺骗

返回目录

实验总结与体会

这次的实验原理和操作都挺简单的。主要就是利用SET工具建立冒名网站(使得冒名网站和攻击者在同一个网关下)以后,再利用DNS 欺骗,修改了DNS缓存表,使得与攻击者在同一网关下的靶机在搜索真正的网站域名时,首先寻找到了攻击者的冒名网站,从而进入了攻击者的陷阱。我们在外面连接免费wifi的时候很容易就和坏人处在同一网关下,这样被欺骗获取登录信息的可能性就很大了。因此不管从防范的意识还是电脑的防护措施方面来说,我们都要加强对自己个人信息的保护。

posted @ 2019-05-02 23:39  icream  阅读(266)  评论(0编辑  收藏  举报