20174307周俊锴《网络对抗技术》Exp7 网络欺诈防范
一、实验目标
- 简单应用SET工具建立冒名网站
- ettercap DNS spoof
- 结合应用两种技术,用DNS spoof引导特定访问到冒名网站
二、实验过程
(一)简单应用SET工具建立冒名网站
检查80端口是否被占用netstat -tupln |grep 80
已经被其他进程占用则kill+进程ID把他杀死
用vi打开/etc/apache2/ports.conf,查看配置文件中的监听端口是否为80,如果不是就改成80。
输入命令apachectl start开启Apache服务,接着打开一个新的终端窗口,输入setoolkit打开SET工具
在第一个选择菜单中选择1社会工程攻击。
在第二个选择菜单中选择2网站攻击向量。
在第三个选择菜单中选择3登陆密码截取攻击方式。
在第四个选择菜单中选择2网页克隆。
然后在之后的网站攻击的设置中,将kali的IP地址填入,并且输入想要克隆的网站域名就可以完成设置。
最后我们在靶机的IE浏览器中输入攻击机的IP地址就会访问到克隆的钓鱼网站,当然你可以使用网上的一些在线网站地址的编译器伪装攻击机的IP地址,让这个钓鱼网站看上去更加真实。
靶机在访问钓鱼网站的时候,kali会收到访问的信息,并且当靶机在钓鱼网站上输入账号密码的时候,会被kali所截获。
(二)ettercap DNS spoof
首先需要将kali网卡改为混杂模式,因此键入ifconfig eth0 promisc命令。
输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改。
上面的配置是指当靶机访问前面的域名时会转到后面的ip,理所当然后面的ip就是kali的ip。
在DNS欺骗前先开启Apache服务器以作测试。终端输入service apache2 start打开apache。
然后在终端输入ettercap -G,以图形化界面开启ettercap。
ettercap的工作原理是在局域网中使用ARP欺骗使靶机认为kali就是网关,从而靶机会把消息都发给kali,然后kali就可以随意修改靶机发出的消息和发送到靶机的消息。
DNS欺骗就是当靶机向DNS服务器发出一个DNS请求解析域名的时候我们利用ettercap将返回的ip篡改了,改成上面我们配置的ip,于是靶机就认为我们给他的ip就是域名所对应的ip。
所以先进行ARP欺骗,后进行DNS欺骗。
首先打开Sniff下的Unified sniffing准备嗅探
做ARP欺骗首先需要知道网关的地址,在ettercap的Hosts选项卡下Scan for hosts,如下图,扫描和自己同网段的所有主机,网关的ip最后一字节一般是1。
然后打开Hosts下的Hosts list配置target,网关添加到target1,靶机添加到target2。
之后点击Mitm下的ARP posoning开始ARP欺骗。
选中remote connections。
之后会出现下面的列表,双击选择dns spoof,可以从下面的提示中看到已经成功激活dnf spoof。
然后就可以开始sniff了,点击start 下的start sniff开始。
在靶机上打开google看看结果,从下图可以看见google进到了我们的钓鱼页面,用setoolkit生成的。同时ping www.google.com的IP地址也变成了192.168.0.4(kali的ip),说明是正确了。
kali的setoolkit里面可以看到刚刚提交的账号密码。
(三)结合应用两种技术,用DNS spoof引导特定访问到冒名网站
第一步,按照克隆的步骤,将kali的ip与谷歌的首页www. google.cn关联。
第二步修改DNS表,打开ettercap,按任务二操作进行DNS欺骗。
第三步,靶机打开 www.baidu.com ,替换成功。
三、实验总结
(一)基础问题回答
(1)通常在什么场景下容易受到dNS_spoof攻击
- 通常与攻击者在同一局域网下会更容易遭到DNS欺骗攻击,因为攻击者可能会冒充该局域网的域名服务器来实施DNS欺骗。
- 此外公共网络环境下(例如无密码登录的wifi等)也容易遭到DNS欺骗攻击
(2)在日常生活工作中如何防范以上两攻击方法
(1)浏览网页时注意URL是不是正规网站的形式
(2)不随便点击邮件或短信中来源未知的链接
(3)使用公共网络时,注意网络是否安全,尽量避免输入账号密码的操作。
(二)实验总结与体会
这次实验只是做一遍比较容易,工具都很好用,没有什么技术含量。但是要真的做出一个能够让人上当的钓鱼网站是有难度的,一个是现在的网站的登录界面都用动态生成,没有一定的网站前端基础根本不知道怎么做出一个相似的网页,还有域名问题的解决,总不能让人直接访问的是ip,显然一下就被识破了。域名的解决办法除了二维码生成,在手机里面先用浏览器打开,然后通过qq、微信分享给好友也是看不到ip地址的。
还有好用的ettercap,做了才知道ARP欺骗原来可以如此方便。与此同时也应当提高自己的网络安全意识了,不能随便蹭WiFi啊,不然账号密码告诉别人了自己都不知道。不过现在很多网站都用的是https,就是利用ssl传输的http,因为ssl有认证所以通过简单的dns spoof和简单的钓鱼网站是无法成功的。