2018-2019-2 網絡對抗技術 20165322 Exp7 網絡欺詐防範
2018-2019-2 網絡對抗技術 20165322 Exp7 網絡欺詐防範
目錄
實驗原理
實驗內容與步驟
- 簡單應用SET工具建立冒名網站
- ettercap DNS spoof
- 結合應用兩種技術,用DNS spoof引導特定訪問到冒名網站。
實驗過程中遇到的問題
基礎問題回答
實驗總結與體會
實驗原理
- DNS欺騙
- 原理:首先欺騙者向目標機器發送構造好的ARP應答數據包,ARP欺騙成功後,嗅探到對方發出的DNS請求數據包,分析數據包取得ID和端口號後,向目標發送自己構造好的一個DNS返回包,對方收到DNS應答包後,發現ID和端口號全部正確,即把返回數據包中的域名和對應的IP地址保存進DNS緩存表中,而後來的當真實的DNS應答包返回時則被丟棄。
- SET工具
- 社會工程學工具包(SET)是一個開源的、Python驅動的社會工程學滲透測試工具。這套工具包由David Kenned設計,而且已經成為業界部署實施社會工程學攻擊的標準。
- 使用SET可以傳遞攻擊載荷到目標系統,收集目標系統數據,創建持久後門,進行中間人攻擊等。
- 使用方法:
- 啟動SET:
setoolkit - 啟動後裏面有提示,根據需要選擇即可
- SET工具默認安裝在/usr/share/set目錄下
- 啟動SET:
- EtterCap
- EtterCap是一個基於ARP地址欺騙方式的網絡嗅探工具。它具有動態連接嗅探、動態內容過濾和許多其他有趣的技巧。它支持對許多協議的主動和被動分析,並包含許多用於網絡和主機分析的特性。
- kali 2.0內置有ettercap,可用
ettercap -v查看版本信息 - 圖形化界面:
ettercap -G 選擇模式:下拉sniff選項。
- 網卡選擇默認eth0,點擊確認可開始嗅探
- 菜單處Hosts-Hosts List可查看嗅探到的主機ip地址、mac地址
- 菜單處Mitm可選擇攻擊方式,包括arp 欺騙、DHCP洪泛攻擊等
菜單處view中可查看嗅探到的通信信息
返回目錄
實驗內容與步驟
(一)簡單應用SET工具建立冒名網站
簡單應用SET工具建立冒名網站
使用
sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件,將端口改為http對應的80號端口
- 可以使用
netstat -tupln |grep 80查看80端口是否被占用。- 如果沒有被占用,則不會顯示任何值。
- 如果被占用了,可以使用
kill+進程號殺死該進程,或使用kill -s 9 進程號強制殺死進程
- 開啟Apache服務:
systemctl start apache2 - 開啟SET工具:
setoolkit - 選擇
1:Social-Engineering Attacks(社會工程學攻擊)
選擇
2:Website Attack Vectors(釣魚網站攻擊向量)
- 選擇
3::Credential Harvester Attack Method(即登錄密碼截取攻擊) - 選擇
2:Site Cloner克隆網站 - 輸入攻擊機kali的IP地址:
192.168.132.141 - 輸入一個有需要登陸的url
http://www.besti.edu.cn/(咱們學校官網) 這裏會有一個提示,不用管他,按一下回車即可
提示“Do you want to attempt to disable Apache?”,選擇
y
- 在靶機上(我用的Win 10)輸入攻擊機IP:
192.168.132.141,按下回車後跳轉到被克隆的網頁: 不知道為啥!!只有網頁代碼,,我佛了,試了一下其他網站頁面是ok的,應該是學校網頁的問題?
我們可以在攻擊機上看到如下提示:
- 如果這是一個需要用戶登錄的網址又會怎麽樣呢?
- Apache服務只能一次性使用。因此退出以後重啟Apache、SET工具,按照上述步驟重新設置一遍,新的URL設置成
http://192.168.200.83/cas/login(咱們學校教務網登錄界面) - 在靶機輸入攻擊者的ip地址。進入了登錄界面。在裏面輸入自己的登錄信息——即使是錯誤的也會被記錄下來。
在kali上我們可以清楚的看到對面的連接和登錄信息了
- 對https的登錄網站又如何呢?
為了進一步偽裝攻擊機IP,我們可以利用網址縮短網站,將攻擊機IP輸入,然後生成一個網址。這樣靶機訪問該網址時和直接輸入IP的效果是一樣的。
返回目錄
(二)ettercap DNS spoof
- 使用指令
ifconfig eth0 promisc將kali網卡改為混雜模式 - 輸入命令
vi /etc/ettercap/etter.dns對DNS緩存表進行修改 在61行添加兩行代碼
www.mosoteach.cn A 192.168.132.141(kali IP) www.cnblogs.com A 192.168.132.141
- 使用
ettercap -G開啟ettercap圖形化界面 - 點擊工具欄中的
Sniff——>unified sniffing 在彈出的界面中選擇
eth0——>ok,即監聽eth0網卡
點擊工具欄中的
Hosts——>Scan for hosts掃描子網
點擊工具欄中的
Hosts——>Hosts list查看存活主機
將網關IP添加到target1,靶機IP添加到target2
- 點擊工具欄中的
Plugins——>Manage the plugins - 雙擊選擇
dns_spoof即DNS欺騙的插件 - 然後點擊左上角的
start——>Start sniffing選項開始嗅探 靶機上輸入
ping www.mosoteach.cn或ping www.cnblogs.com,可以在Kali端看到反饋信息。這裏有點奇怪,正常來說捕捉到的應該是kali的IP才是正確的,,我也不知道為什麽顯示成這樣了,可能是抽了?或者這個攻擊手段並不是100%的成功率吧
相應的,靶機下顯示的ping回應都是kali主機的IP,這裏倒是正確了
返回目錄
(三)結合應用兩種技術,用DNS spoof引導特定訪問到冒名網站。
- 實驗二的ettercap不要關,繼續對靶機進行DNS欺騙
- 首先按照實驗一的步驟克隆教務處網站,保證能夠跳轉成功
- 這時候測試一下實驗二裏靶機ping www.mosoteach.cn,能夠成功ping到kali上。即可以開始任務。
打開靶機瀏覽器,輸入www.mosoteach.cn,應該能夠跳轉到教務網的網頁上,效果如下:
在這個網址上輸入登錄信息
-可以看到kali實驗一的界面成功顯示了靶機輸入的用戶信息。
返回目錄
實驗過程中遇到的問題
- 實驗任務1,打開SET工具並配置好ip和網址後。偶爾會出現不彈出提示
Do you want to attempt to disable Apache?的情況,此後靶機登錄信息無法監測到。我檢查了端口已關閉,Apache之前也已經開啟。問題出在哪裏我也沒找出來。解決辦法就是重啟電腦,找個網快的地方,操作慢一點,然後看臉(猜測是因為網速問題) - 做實驗任務2的時候修改了緩存表以後……依然會出bug,靶機win7上顯示的kali的IP地址,但是kali上顯示的卻是正常網絡的IP,很迷。
- 任務3就更不用說啦,必須要前兩個任務都不出bug才能成功,試了10多次感覺都要吐血了orz
返回目錄
基礎問題回答
通常在什麽場景下容易受到DNS spoof攻擊
- 通常在連接不受信任的網絡(例如咖啡廳的wifi)容易遭到攻擊
- 在同一局域網下比較容易受到DNS spoof攻擊,攻擊者可以冒充域名服務器,來發送偽造的數據包,從而修改目標主機的DNS緩存表,達到DNS欺騙的目的。
在日常生活工作中如何防範以上兩攻擊方法
- 使用最新版本的DNS服務器軟件,並及時安裝補丁;
- 不能亂連wifi,給攻擊者可乘之機
- 防範ARP欺騙
返回目錄
實驗總結與體會
這次的實驗原理和操作都挺簡單的。主要就是利用SET工具建立冒名網站(使得冒名網站和攻擊者在同一個網關下)以後,再利用DNS 欺騙,修改了DNS緩存表,使得與攻擊者在同一網關下的靶機在搜索真正的網站域名時,首先尋找到了攻擊者的冒名網站,從而進入了攻擊者的陷阱。我們在外面連接免費wifi的時候很容易就和壞人處在同一網關下,這樣被欺騙獲取登錄信息的可能性就很大了。因此不管從防範的意識還是電腦的防護措施方面來說,我們都要加強對自己個人信息的保護。
2018-2019-2 網絡對抗技術 20165322 Exp7 網絡欺詐防範