2019-2020-2 20175227张雪莹 《网络对抗技术》 Exp7 网络欺诈防范
目录
-
实验目标
-
实验内容
基础知识
SET工具
- SET是一个开源的、Python驱动的社会工程学渗透测试工具。利用人们的好奇心、信任、贪婪及一些愚蠢的错误,攻击人们自身存在的弱点。使用SET可以传递攻击载荷到目标系统,收集目标系统数据,创建持久后门,进行中间人攻击等。
- 功能:
Select from the menu:
1) Social-Engineering Attacks //社会工程学攻击
2) Penetration Testing (Fast-Track) //快速追踪渗透测试
3) Third Party Modules //第三方模块
4) Update the Social-Engineer Toolkit //更新软件
5) Update SET configuration //升级配置
6) Help, Credits, and About //帮助信息
ettercap
- ettercap是一款现有流行的网络抓包软件,他利用计算机在局域网内进行通信的ARP协议的缺陷进行攻击,在目标与服务器之间充当中间人,嗅探两者之间的数据流量,从中窃取用户的数据资料。
- ettercap有两种运行方式,
UNIFIED
和BRIDGED
。UNIFIED
的方式是以中间人方式嗅探,基本原理是同时欺骗主机A和B,将自己充当一个中间人的角色,数据在A和B之间传输时会通过C,C就可以对数据进行分析,从而完成嗅探。BRIDGED
方式是在双网卡情况下,嗅探两块网卡之间的数据包。
实验目标
- 理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
实验内容
实验环境
- 攻击机:kali-linux-2020.1-vmware-amd64(192.168.99.116)
- 靶机:Windows XP Professional(192.168.99.80)
简单应用SET工具建立冒名网站
- 由于要将钓鱼网站挂在本机的http服务下,所以需要将SET工具的访问端口改为默认的80端口。
- 使用
sudo vi /etc/apache2/ports.conf
命令修改Apache的端口文件,将监听端口改为80,如下图所示:
- 进入超级权限后使用命令
netstat -tupln |grep 80
查看80端口是否被占用。我这里没有被占用,如果被占用使用kill
命令杀死该进程
- 使用命令
apachectl start
开启Apache服务:
setoolkit
开启SET工具- 选择
1
,即社会工程学攻击
- 选择
2
,即钓鱼网站攻击向量
- 选择
3
,即登录密码截取攻击
- 选择
2
,即克隆网站
- 输入攻击机IP
192.168.99.116
- 输入一个克隆成钓鱼网站的url,这里我选的是有登录功能的
https://gitee.com/login
- 出现
Do you want to attempt to disable Apache?
时选择y
(我这里之前设了其他网站失败了,换成现在这个才🆗,所以提示不太一样)
- 靶机浏览器中输入攻击机IP,即可看到攻击机这边收到提示
- 在靶机的登录界面输入用户名和密码,攻击机可以全部获取:
ettercap DNS spoof
- 依次输入以下命令:
- 将攻击机网卡设为混杂模式:
ifconfig eth0 promisc
- 对DNS缓存表进行修改:
vim /etc/ettercap/etter.dns
,在microsoft sucks
一栏添加两条以下记录
www.gitee.com/ A 192.168.99.116 //为攻击机IP
www.cnblogs.com A 192.168.99.116 //为攻击机IP
- 开启ettercap:
ettercap -G
- 将攻击机网卡设为混杂模式:
- 按图中设置,设置完成后打钩开始嗅探
- 点击左上角的搜索图标,然后点击列表图标,即可看到存活主机信息,如下:
- 将kali网关的IP添加到target1,靶机IP添加到target2:
- 点击右上角三个点图标,选择
Plugins
->Manage plugins
- 找到
dns_spoof
即DNS欺骗插件,双击选择:
- 在靶机cmd中
ping www.gitee.com
,发现解析的地址是攻击机的IP,并且ettercap捕获到一条记录:
结合应用两种技术,用DNS spoof引导特定访问到冒名网站
- 按照任务一的步骤克隆一个登录页面(我这里是码云的)
- 按照任务二的步骤实施DNS欺骗,此时
www.cnblogs.com
(博客园网址)的解析地址已经被我们设置为了攻击机地址
- 靶机中输入网址
www.cnblogs.com
,显示出来的网页却是码云的登录界面
- 此时攻击机中ettercap看见一条记录:
- 靶机在该登录界面输入用户名和密码,发现攻击机这边获取了相关信息,可以看到用户名,但是密码是加密的:
老师提问
通常在什么场景下容易受到DNS spoof攻击?
- 回答:我们这次用的是两个设置为桥接模式的虚拟机进行实验,这说明在同一局域网下,易受DNS spoof攻击;据之前的学习,在公共网络中也可能遭受该攻击。
在日常生活工作中如何防范以上两攻击方法?
- 回答:
- 使用入侵检测系统,可以检测出大部分的DNS欺骗攻击
- 不连陌生且不设密的公共WiFi,给黑客机会
- 直接使用IP地址访问,对个别信息安全等级要求十分严格的WEB站点尽量不要使用DNS进行解析。
所遇到的问题及其解决方法
- 基本没遇到啥问题,攻击不成功通常就重启下SET和ettercap就好了。
实验感想
- 通过做这次实验,自己终于体验了一把“久仰大名”的DNS欺骗。DNS欺骗原理简单,就是没想到实现起来也很简单。自己在一些公共场所总是发现并连接一些免费且不设密的WiFi而高兴,其实这样的小便宜不要去占,很容易就被黑客窃取到重要的账户信息。不过在实验中也发现,现在登录密码在网页中进行传输全是以加密形式,相对来说比明文传输要好很多,但是也要提防,毕竟还有密码分析学在那里呢!