• 20145221高其_网络欺诈技术防范


    20145221高其_网络欺诈技术防范

    目录

    实践目标

    • (1)简单应用SET工具建立冒名网站
    • (2)ettercap DNS spoof
    • (3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。

    URL攻击

    实验内容

    • 通过SET工具在本地主页搭建一个钓鱼网站,对钓鱼网站进行“域名”加工,诱导靶机点击访问,进而诱导靶机输入相应的账户名和密码,本地通过SET工具截取相应的字段。

    实验过程

    Step1:设置SET访问端口

    • 由于要将钓鱼网站挂在本机的http服务下,所以需要将SET工具的访问端口改为默认的80端口
    • 通过指令:sudo vi /etc/apache2/ports.conf更改默认设置

    Step2:关闭80端口的应用进程

    • 为了让apache能接替80端口的使用,必须先关闭默认http的80端口的进程
    • 查询80端口进程pid:netstat -tupln | grep 80,我这里查看到的是883
    • 杀掉之前占用80端口的进程:kill 883
    • 可以再次执行端口查看的指令,确认没有进程占用
    • 打开apache服务:service apache2 start

    Step3:打开set

    • 执行指令打开set:setoolkit

    • 选择1:社会工程学攻击

    • 选择2:网页攻击媒介

    • 选择3:钓鱼网站攻击

    • 选择2:克隆网站Site clone

    • 根据以下英文提示,输入攻击机IP:192.168.42.133

    • 接下来输入要搭建网址的URL:XXX.XXX.XXX

    • 看到如下提示表示钓鱼网站搭建成功,可以在kali攻击机下输入网址:127.0.0.1查看钓鱼网站是否设置成功,如果没有,考虑重启SET工具,再次观察即可

    Step4:构建一个域名

    • 如果发送一个IP供人点击,可能性较小,我们可以伪装成一个较为正常的域名

    • http://short.php5developer.com网站可以帮我们做到这样一点,在如下文本框中输入需要伪装的IP地址,会自动生成一个域名

    • 测试:在浏览器中输入地址:http://short.php5developer.com/cRt

      • 会发现有一个跳转提示,等待10秒后会接入Kali的IP地址
      • 能正常显示自己搭建的钓鱼网站,表示初步成功

    Step5:上钩

    • 通过靶机Win XP Sp3,访问域名
    • 因为和正常网站一模一样,所以当靶机不假思索的输入相应的用户名和密码后,在set工具下成功捕捉到了相关数据

    存在问题

    • 由于我们不信任IP,所以构造了域名,但不清楚的域名也会引起怀疑,稍稍有点信息安全常识的就不会去点击该链接;
    • 即便如此也会产生一个大问题,当你登录到php5developer网站时,它会明显的提示你有跳转,而且会标出跳转的IP地址,也不利于攻击者IP的隐蔽,也达不到欺骗的效果,所以结合后文中的DNS SPOOF攻击,能在一个局域网下达到较为满意的结果。

    dns欺骗攻击与SET结合

    实验内容

    • 通过DNS欺骗,将靶机IP连接到相应的攻击机和靶机共用的网关,进而访问kali的DNS缓存表,将用户诱导向本机IP,结合SET工具,捕获靶机提交到的POST包

    实验过程

    Step1:更改DNS缓存

    • 在本地构造一个假的DNS缓存表,写入新的DNS缓存:www.qq.com A 192.168.42.133

    • 开启混杂模式,便于监听整个局域网络的数据包

      • ifconfig eth0 promisc

    Step2:开启调试ettercap

    • 输入ettercap -G,开启ettercap,会自动弹出来一个ettercap的可视化界面

    • 点击工具栏中的Sniff—>unified sniffing

    • 之后会弹出界面,选择eth0->ok

    • 在工具栏中的Hosts下点击扫描子网,并查看存活主机,先后执行指令:

      • Scan for hosts
      • Hosts list
    • 将网关右键添加到target1,将靶机右键添加到target2

    • 选择Plugins—>Manage the plugins,在众多plugins中选择DNS欺骗

    • 然后点击左上角star选项,开始嗅探

    • 提示:此时不出差错,即可在靶机上通过www.qq.com域名访问到kali的默认网页了

    Step4:攻击机开启SET

    • 此时开启SET工具,是为了能再一次利用其搭建的钓鱼网站,并能捕获POST信息,从而得到相应的用户名和密码
    • 该步骤基本类似于实验任务1,在此不再赘述过程
    • 经过上述操作后,可以开始监听本机主页的变化了

    Step5:上钩

    • 不可否认,www.qq.com是一个访问很多的网站(注意:为了更加逼真,我们可以将DNS中的域名直接设定为钓鱼网站原域名,这样用户不会有任何怀疑,为了不透露钓鱼网站的真面目,此处用QQ代替

    • 当靶机用户登录到网站:www.qq.com时,即会连接到kali默认主页(即钓鱼网站),又因为此时SET已经开启监听,所以当用户登录QQ网站输入用户名和密码时,会被SET认认真真记录下来,而用户在输入时不会有任何察觉

    • 为了区分第一次的图,本次将密码输入设为:hahaha

    • 靶机图:可以看出URL都没变,一看就非常可信

    • kali攻击机图:完美解惑密码

    总结

    通常在什么场景下容易受到DNS spoof攻击

    • 同一局域网下,公共的热点容易受到DNS spoof攻击
      • 不需要密码的热点,等同于任何人都可以连上,这样的热点最危险
    • 不在同一局域网下,也可以完成
      • 向客户端主机随机发送大量DNS响应数据报,命中率很低
      • 或者可以向DNS服务器发起拒绝服务攻击,太粗鲁,容易被发现
      • 当然也不排除向主机或者DNS服务器植入病毒后直接进行DNS欺骗这样的做法
    • 所以常见有效的DNS spoof攻击就是在同一局域网下了

    在日常生活工作中如何防范以上两攻击方法

    • 对于不在同一局域网下的DNS spoof攻击
      • 这样的攻击范围往往是大范围的,受影响的用户涵盖整个该DNS服务器服务的主机,而这样的攻击动作很容易被网管发现,所以留意一下相关的新闻即可
      • 可以对DNS服务器提供相应的安全保障,配置合适的防火墙规则,抵御DOS攻击
    • 对于在同一局域网下的DNS spoof攻击
      • 这种攻击我想说真的很难预防,就本次实践来说,kali可以将用户经常访问的URL先克隆到本机主页,然后修改DNS缓存,当用户访问该URL时,能看见一个一模一样的该URL界面,让用户误以为登录了正规的网站,不假思索的输入敏感信息
      • 就上面这一过程,不是检查域名的合法性就可以解决的,在设置好SET和DNS后,因为我并没有诱导你输入某个链接,你输入的域名访问了你预期的网页,正常情况下你是不会怀疑该网页的真实性的,所以以一般的经验来说真的很难预防
      • 但要是我们能提高我们的安全意识,也是有办法解决的,首先我们可以禁用本地的DNS缓存,避免自己的DNS缓存被恶意窜改,然后,好像就没有然后了……因为kali根本就没有让你访问自己DNS缓存的机会,直接将所有会话通过ettercap工具转移到了kali的主机,直接用kali的DNS缓存,你有什么办法?我是用户的话,根本不知道访问的是kali的DNS缓存,我也很无奈啊!
      • 还有一种是通过IP访问,但我觉得很不现实,没有人有记IP、查IP的习惯吧,实际中行不通…
      • 最后我觉得还是可以通过https来解决问题的,https协议所要解决的就是服务器认证的问题,要防御的就是有这样的钓鱼网站向用户欺瞒真实身份,所以现在绝大多数具有POST功能的网站都采用了https协议,当我们访问这样的网站时,如果不能提供正确的数字证书,不能完成ssl握手协议,那该网站肯定不可信,这一点在实际生活中应该还是容易实现的。
      • 另外补充一点吧,如果你真的很担心这样的事发生,你可以在通过域名访问时,先在cmd下先Ping一Ping,该过程会解析出此域名的IP,如果是个私有地址IP,请果断拒绝访问,肯定是克隆网站,并且赶快去排查该IP的主机是谁,揪出这个坏蛋!他在嗅探你的同时,也暴露了他自己!

    实验感想

    • 本次实验做完,我的第一反应就是太厉害了,只要我能连入某一个局域网下,我就可以通过上述途径改变任何一个网站的访问,使得用户自主输入链接访问我预先设定的克隆网站,然后我就坐在电脑前等着信息就OK了;
    • 所以啊,能别连的WIFI还是不要轻易连接的好,如果一定要连接使用,也不要轻易主动的去访问某个链接,并输入敏感的信息,正常情况下,你是真的很难知道该网站有没有被克隆,但是也不用过于担心,一般来说现在很多软件与服务器的交互信息都是加了密的,即便被嗅探,也是无法很快解密出来的;
    • 所要担心的就是该局域网域名有没有被劫持,尽量别通过域名访问,真的很危险!(预防方案参考前文)
  • 相关阅读:
    HTTP——学习笔记(3)
    HTTP——状态码
    HTTP——学习笔记(2)
    HTTP——学习笔记(1)
    Sqlserver 存储过程
    Sqlserver 函数(例子)
    Sqlserver 函数
    sqlserver字段类型
    redis入门笔记(2)
    redis入门笔记(1)
  • 原文地址:https://www.cnblogs.com/20145221GQ/p/6765082.html
Copyright © 2020-2023  润新知