Exp7 網絡欺詐防範

目錄

• 一、實驗內容
• 二、基礎問題回答
  • (1)通常在什麽場景下容易受到DNS spoof攻擊
  • (2)在日常生活工作中如何防範以上兩攻擊方法
• 三、實踐過程記錄
  • 3.1簡單應用SET工具建立冒名網站
  • 3.2ettercap DNS spoof
  • 3.3結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站。
• 四、實驗總結與體會

• 五、實驗中遇到的問題與錯誤

一、實驗內容

本實踐的目標理解常用網絡欺詐背後的原理，以提高防範意識，並提出具體防範方法。

具體實踐有：

（1）簡單應用SET工具建立冒名網站 （1分）

（2）ettercap DNS spoof （1分）

（3）結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站。

二、基礎問題回答

（1）通常在什麽場景下容易受到DNS spoof攻擊

• 1、連接不明的公共WiFi，連接不明來路的WiFi非常容易受到中間人攻擊。
• 2、當和攻擊者在同一個子網內時，容易受到DNS spoof攻擊。
  

（2）在日常生活工作中如何防範以上兩攻擊方法

• 很多DNS攻擊是基於ARP攻擊的，而ARP攻擊最理想的防制方法是網上內的每臺計算機的ARP一律改用靜態的方式，不過這在大型的網上是不可行的，因為需要經常更新每臺計算機的ARP表格。
• 其實最安全的方案是直接訪問重要網站的IP地址，這樣就不會受到ARP欺騙攻擊和DNS欺騙攻擊了。可以適當記錄一下非常重要的網站或者涉及重要信息的網站的IP地址。
• 提高自身防範意識，不去訪問來路不明的網頁，不要隨便點擊不清楚的網頁，更不要在異常或不明的網頁輸入密碼等重要信息。

三、實驗過程記錄

3.1 簡單應用SET工具建立冒名網站

社會工程學工具包（SET）是一個開源的、Python驅動的社會工程學滲透測試工具。SET利用人們的好奇心、信任、貪婪及一些愚蠢的錯誤，攻擊人們自身存在的弱點。使用SET可以傳遞攻擊載荷到目標系統，收集目標系統數據，創建持久後門，進行中間人攻擊等。

在使用set工具前需要檢查80端口是否被占用並開啟Apache服務。

• 1、輸入命令sudo vi /etc/apache2/ports.conf，此時set工具的訪問端口已經是80端口了，不需要修改了，如果不是80，需要修改為80.
  

  

• 2、輸入命令netstat -tupln |grep 80，查看此時80端口是否被占用，如圖則無占用，如有進程占用，可使用命令kill+進程號結束該進程。
  

• 3、輸入命令apachectl start 開啟Apache服務。
  

• 4、在kali攻擊機輸入命令setookit，啟動set工具.
  

• 5、輸入1，選擇第一個社會工程學攻擊，回車。
  

• 6、然後跳到出現下面的界面，又出現了幾個選項，這次選擇2，釣魚網站攻擊向量。
  
  

• 7、回車後又出現選擇選項，選擇3，認證獲取攻擊，可以獲取認證過程中的登錄密碼。
  

• 8、選擇2，站點克隆。
  

• 9、出現kali的IP地址後回車，接下來根據提示輸入要克隆的網站url，此處我用了學校的教務處網站。

• 10、回車後提示：此處網站服務器無法綁定端口80，你確定要運行Apache嗎？你想要嘗試停止運行Apache嗎？，輸入y。接下來就等待靶機上鉤了。
  

• 11、在靶機(win10：:192.168.1.173)上，打開瀏覽器，輸入kali攻擊機的IP地址(192.168.1.166)。會呈現一個與真實網站一模一樣的頁面。
  

• 12、如果在該網頁上輸入賬號和登錄密碼，攻擊機可以收到明文登錄密碼。十分危險。
  

• 13、當然直接讓受害者訪問攻擊者的IP地址其實不太現實，我們可以對其進行偽裝，用短網址生成器給我們的網址包裝一下，就會生成下圖這樣的一個看不出來是什麽的網址，如果發送給受害者，防範意識薄弱的人可能就會點開，甚至輸入自己的賬號密碼。
  

• 14、打開這個經過短網址生成器包裝過的網址後，會出現如下圖的界面，提醒將還有幾秒鐘跳入192.168.1.166.
  

• 15、然後悄悄換一個網址試試，比如下面這個也可以成功。
  

• 16、輸入賬號和登錄密碼，並提交後，這次卻找不到登錄的密碼，出現了很多亂七八糟的亂碼。登錄賬號20165114卻可以找到。
  
  
  

返回目錄

3.2 ettercap DNS spoof

混雜模式（英語：promiscuous mode）是電腦網絡中的術語。是指一臺機器的網卡能夠接收所有經過它的數據流，而不論其目的地址是否是它。一般計算機網卡都工作在非混雜模式下，此時網卡只接受來自網絡端口的目的地址指向自己的數據。當網卡工作在混雜模式下時，網卡將來自接口的所有數據都捕獲並交給相應的驅動程序。網卡的混雜模式一般在網絡管理員分析網絡數據作為網絡故障診斷手段時用到，同時這個模式也被網絡黑客利用來作為網絡數據竊聽的入口。

1、輸入命令ifconfig eth0 promisc，將網卡設為混雜模式，使其能接收所有經過它的數據流。
2、輸入命令ifconfig eth0，發現此時已經為混雜模式了。

3、使用命令vi /etc/ettercap/etter.dns，修改文件，加入以下的這條對應的域名和IP地址(攻擊者kali的IP地址)，進行DNS欺騙。

4、使用命令ettercap -G啟動ettercap可視化界面,如下圖：

5、點擊Sniff->Unified sniffing...進行配置，選擇eth0,點擊確定。

6、選擇工具欄中的Hosts->Scan for hosts掃描存活主機。

7、選擇工具欄中的Hosts->`Hosts list查看主機列表。

8、中間人監聽，將網關和靶機設為監聽的兩端，將網關192.168.1.1設置為target1,靶機192.168.1.142設置為target2。

9、點擊工具欄的Mitm—>Arp poisoning，勾選Sniff remote connections，確定，然後選擇工具欄Start->Start sniffing開始實行arp欺騙：

10、在靶機中輸入arp -a，查看IP與對應物理地址，發現此時網關的物理地址已經變成了kali攻擊機的物理地址，ARP欺騙已經成功了。

11、點擊View->Connections，可以查看靶機的通信信息。

12、點擊工具欄Plugins—>Manage the plugins，雙擊選擇DNS_spoof插件，*表示被選中的狀態。

13、點擊工具欄Start->Start sniffing開始嗅探。

14、在靶機的命令提示符中輸入ping www.cnblogs.com ，發現域名的解析地址已經變成了kali攻擊主機的IP地址，意味著DNS欺騙成功了。

15、而在ettercap上也能看到，會話被轉移到了kali攻擊機上，並沒有訪問真正的博客園服務器。

返回目錄

3.3 結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站。

1、按照3.1的步驟，克隆一個網站，當訪問kali攻擊機服務器時，會跳入一個被克隆的冒名釣魚網站。

2、按照3.2的步驟進行DNS欺騙，當靶機訪問某域名時，實際上訪問了kalikali攻擊機服務器，跳入克隆後的冒名釣魚網站，輸入登錄密碼等信息，就會被盜取信息。
3、結合前面的步驟的結果就是，靶機上輸入域名可直接跳入釣魚網站。

返回目錄

四、實驗總結和體會

此次實驗我們可以發現，制作釣魚網站，盜取他人信息還是比較簡單的。也很容易在不經意間就跳入了攻擊者的DNS欺騙陷阱。通過這次實驗，我切身體會到了，加強自我防範意識的重要性。要保持對自身信息的敏感度，不要輕易在異常網站上輸入自己的信息，也不要輕易點擊來路不明的網頁鏈接。

此次實驗過程中，我對於ARP欺騙和DNS欺騙也更為了解了，發現很多DNS欺騙是基於ARP欺騙才能成功的。作為一名學習信息安全有關知識的學生，對於中間人攻擊、信息泄露、網絡欺詐、釣魚網站等都應該培養一定的敏感度，才能在實踐中不斷提高自己的專業素養，平時生活中多觀察多思考多探究事件的原理，將理論與實踐結合起來，真正做到學以致用。

五、實驗遇到的問題與解決方案

• 出現如下圖的錯誤，提示是網絡未連接，我發現確實是我的虛擬機不知道為啥網絡斷開了，再連接上網絡後，重新來一遍即可。
  

• 此次我使用了微博的頁面進行克隆，發現即使克隆的是登錄頁面，輸入了賬號和密碼後，也並不全都能獲得賬號密碼，如下圖就並沒有或得信息。於是我換了一個網站進行試驗，可以成功。
  

2018-2019-2 20165114《網絡對抗技術》Exp7 網絡欺詐防範