2019-2020-2 20175113完瑞 《网络对抗技术》Exp7 网络欺诈防范

Exp7 网络欺诈防范

一、实践内容

（1）简单应用SET工具建立冒名网站

（2）ettercap DNS spoof 

（3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站

二、具体步骤

（1）简单应用SET工具建立冒名网站

• 由于要将钓鱼网站挂在本机的http服务下，所以需要将SET工具的访问端口改为默认的80端口。使用 sudo vi /etc/apache2/ports.conf 命令修改Apache的端口文件，将端口改为80

• 在kali中使用 netstat -tupln |grep 80 命令查看80端口是否被占用。如果有，使用 kill+进程号 结束该进程。
• 使用 apachectl start 开启Apache服务：   
• 输入 setoolkit 打开SET工具：   
• 选择1： Social-Engineering Attacks（社会工程学攻击） 

• 选择2： Website Attack Vectors（钓鱼网站攻击向量 ）   

• 选择3： Credential Harvester Attack Method（登录密码截取攻击）

• 选择2： Site Cloner（进行克隆网站）  

• 输入攻击机（kali）IP： 192.168.81.129   

• 输入被克隆的url： https://www.cnblogs.com/besti5113/p/12398922.html（我的实验六博客） 

• 在提示 Do you want to attempt to disable Apache? 时选择 'y'

• 在靶机浏览器上输入攻击机IP： 192.168.81.129 ，按下回车后跳转到被克隆的网页：   

• 同时观察到终端给出提示

• 我们再更换一下被克隆的网页（云班课网页登录： https:www.mosoteach.cn/web/index.php?c=clazzcourse ）
• 可以发现捕获了提交的账号密码表单内容

（2）ettercap DNS spoof

• 将kali网卡改为混杂模式： ifconfig eth0 promisc 
• 修改DNS缓存表： vi /etc/ettercap/etter.dns 

www.mosoteach.cn A 192.168.81.129
www.cnblogs.com A 192.168.81.129

• 开启ettercap：  ettercap -G 
• 将Primary interface设为： eth0 
• 点击 ✔ 开始扫描

• 点击搜索框开始扫描同网段下活跃主机
• 选中网关地址： 192.168.81.2 ，Add to Target1
• 选中靶机地址： 192.168.81.132 ，Add to Target2

• 点击工具栏中省略号框，“Plugins”——>“Manage the plugins”

• 选中 dns_spoof （DNS欺骗的插件）

• 靶机： ping www.mosoteach.cn 或 ping www.cnblogs.com 

（3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站

综合使用以上两种技术，首先按照任务一的步骤克隆一个登录页面，在通过任务二实施DNS欺骗，此时在靶机输入网址 www.mosoteach.cn 可以发现成功访问冒名网站： www.cnblogs.com  

• 按照（1），将kali IP： 192.168.81.129 与博客园主页： www.cnblogs.com 关联
• 设置DNS表： www.mosoteach.cn A 192.168.81.129 ，打开ettercap： ettercap -G 
• 按（2）操作直至开始嗅探(实际上，只要我们在（2）中添加过的网址都能够打开博客园首页) 
• 靶机打开 www.mosoteach.cn ，显示博客园主页（你以为你打开的是云班课，其实是我博客园哒！！）

三、实验中遇到的问题

1. 在（2）中将网关地址 Add to Target1，我天真的以为网关地址是 192.168.81.1，导致我无法进行DNS欺骗，当我以为靶机IP变化而再去查询IP时注意到：

 

四、基础问题回答

1.通常在什么场景下容易受到DNS spoof攻击

（1）当连接一个公共场合的Wifi时，尤其是那种不需要密码的公共wifi，心怀不轨者可以利用这个联网设备轻松搭建一些钓鱼网站

（2）同一局域网下（本次实验中的靶机和 kali 就是这么一个存在）

2.在日常生活工作中如何防范以上两攻击方法

（1）尽量不要去连公共场合的wifi

（2）浏览网站输入密码之前先查看该网站是否具有可信任的证书

（3）安装最新版的入侵检测系统（入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击）

（4）一些较为重要的网站将其IP地址和MAC地址的对应关系设置为静态（不过这个方法不能广泛使用）

五、实验心得体会

       通过这个实验我终于明白了为什么不能在公共场合连Wifi了，我一直以为是因为连别人的网站会让别人在你的设备中装木马，如果不访问一些奇奇怪怪的网站应该问题也不大，但是做完这个实验我发现，原来平时我以为的“正常的网站”其实也有可能是钓鱼网站！细思恐极！最后，不能说所有的公共wifi都是这样，但是防患于未然，还是不要随意使用公共场合的Wifi了。