目錄

• 2018-2019 20165208 網絡對抗 Exp7 網絡欺詐防範
  • 實驗內容
  • 基礎問題回答
  • 實踐過程記錄
    • 1. 簡單應用SET工具建立冒名網站
    • 2. ettercap DNS spoof
    • 3. 結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站
  • 實驗感想

2018-2019 20165208 網絡對抗 Exp7 網絡欺詐防範

實驗內容

本實踐的目標理解常用網絡欺詐背後的原理，以提高防範意識，並提出具體防範方法。具體實踐有

（1）簡單應用SET工具建立冒名網站 （1分）

（2）ettercap DNS spoof （1分）

（3）結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站。（1.5分）

（4）請勿使用外部網站做實驗

（5）報告（1分）

基礎問題回答

（1）通常在什麽場景下容易受到DNS spoof攻擊

• 公共wifi環境。
• 從這個實驗出發，靶機需要被攻擊機掃描，並被設置為目標，所以這要求攻擊機和靶機在同一個自網內。

（2）在日常生活工作中如何防範以上兩攻擊方法

• 登錄網站時確定頁面無誤的情況下也要多留意網址，現在大多數為https，擁有網站證書，可以檢查是否來自可信ca頒發的。
• 在安全性難以得到保障的情況下，不隨意連公共wifi。

實踐過程記錄

1. 簡單應用SET工具建立冒名網站

• 使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件，將端口改為http對應的80號端口
  

• 使用netstat -tupln |grep 80查看80端口是否被占用(若存在被占用的情況kill 編號殺死進程)
  

• 使用apachectl start開啟Apache服務
• 使用setoolkit打開SET工具，開啟後有如下選項：

• 選擇1：Social-Engineering Attacks即社會工程學攻擊
  

• 選擇2:Website Attack Vectors即釣魚網站攻擊向量
  

• 選擇3:Credential Harvester Attack Method即登錄密碼截取攻擊
  

  

• 選擇2:Site Cloner進行克隆網站
  

• 輸入攻擊機IP：192.168.1.118，即攻擊機Kali的IP
  

• 輸入被克隆的url：這裏我首先選的是博客園個人主頁https://www.cnblogs.com/KY-high/但可能是需要登錄的原因，不能直接進行跳轉。
  

• 輸入被克隆的url：https://www.cnblogs.com/KY-high/p/10765357.html

• 提示“Do you want to attempt to disable Apache?”，選擇y
  

• 在靶機上（這裏用的是實際主機，但不知道為什麽後來就不能跳轉了，步驟三也就使用虛擬機做的）輸入攻擊機IP：192.168.1.118，按下回車後跳轉到被克隆的網頁：
  

• 攻擊機上可以看到如下提示：
  

[補充]：為了進一步偽裝攻擊機IP，我們可以利用網址縮短網站，將攻擊機IP輸入，然後生成一個網址，如“http://short.php5developer.com/d2X”。這樣靶機訪問該網址時和直接輸入IP的效果是一樣的。

2. ettercap DNS spoof

• 使用ifconfig eth0 promisc將kali網卡改為混雜模式；
  

• 輸入命令vi /etc/ettercap/etter.dns對DNS緩存表進行修改：

添加的兩條記錄是：

www.mosoteach.cn A 192.168.1.118 #IP要換成自己的kali主機IP
www.cnblogs.com A 192.168.1.118

• 使用ettercap -G開啟ettercap：

• 點擊工具欄中的“Sniff”——>“unified sniffing”
  

• 在彈出的界面中選擇“eth0”——>“ok”，即監聽eth0網卡
  

• 點擊工具欄中的“Hosts”——>“Scan for hosts”掃描子網
  

• 點擊工具欄中的“Hosts”——>“Hosts list”查看存活主機

• 將kali網關的IP：192.168.1.1添加到target1，靶機IP：192.168.1.107添加到target2：
  
  
  

• 選擇工具欄Mitm—>Arp poisoning，勾選Sniff remote connections.（嗅探並保持原連接狀態），確定
  

• 在靶機中輸入arp -a發現已經被arp欺騙成功（欺騙靶機192.168.1.107，讓它誤以為Kali攻擊機192.168.1.118是網關192.168.1.1）
  

• 選擇工具欄View->Connections查看和被監聽靶機之間的所有連接信息：
  

• 點擊工具欄中的“Plugins”——>“Manage the plugins”

• 雙擊選擇“dns_spoof”即DNS欺騙的插件
  

• 然後點擊左上角的“start”——>“Start sniffing”選項開始嗅探

• 靶機上輸入ping www.mosoteach.cn或ping www.cnblogs.com，可以在Kali端看到反饋信息：
  

[疑問]：我也不知道為什麽ping www.mosoteach.cn的時候，返回信息的IP不是kali 的IP，而ping www.cnblogs.com的時候放回的IP就轉換成了kali的IP（後來嘗試每次設定都修改DNS緩存表，加個空格刪個空格，就沒再遇到這個問題了）

3. 結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站

• 建立冒名網站的步驟同2.1的相同，克隆的網站輸入mosoteach.cn(藍墨雲)完成第一步。
  

• 設置DNS spoof的步驟同2.2的相同。
  
  
  
  

• 虛擬機Win7中輸入ping www.cnblogs.com返回的數據中顯示的是攻擊者kali的IP，訪問www.cnblogs.com時跳轉到之前克隆的藍墨雲網站界面。
  

• 本來第三部分也是在本機上做的，以QQ郵箱做了嘗試，但不知道是那裏的問題，攻擊機kal的ip地址和QQ郵箱頁面像是綁定了一樣，但是輸入kail機IP地址卻顯示頁面無法訪問，嘗試修改三四次，最後還是不行就選擇了用虛擬機win7進行了操作。
  

實驗感想

通過本次實驗，我學會了如何利用工具克隆網頁，制作一個釣魚網站，如何將自己的IP偽裝。本以為會很復雜的克隆，實際上卻只需要一行命令，同時也深深意識到了以往說連公共wifi不可靠的含義。同時，對於以後的防範方法也有了一定的了解，受益頗多。

2018-2019 20165208 網絡對抗 Exp7 網絡欺詐防範