2019-2020-2 20175303柴轩达《网络对抗技术》Exp7 网络欺诈防范
实践目标
本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
实践内容
- 简单应用SET工具建立冒名网站;
- ettercap DNS spoof;
- 结合应用两种技术,用DNS spoof引导特定访问到冒名网站;
- 请勿使用外部网站做实验.
实验步骤
-简单应用SET工具建立冒名网站
由于要将钓鱼网站挂在本机的http服务下,所以需要将SET工具的访问端口改为默认的80端口。
在管理员模式下使用sudo vi /etc/apache2/ports.conf命令查看Apache的端口文件.
端口为80,不需要修改,如下图所示:
在kali中使用netstat -tupln |grep 80命令查看80端口是否被占用。如果有,使用kill+进程号杀死该进程。如下图所示,无其他占用:
使用apachectl start开启Apache服务:
输入setoolkit打开SET工具:
y/n选择y:
set>1 选择社会工程学攻击Social-Engineering Attacks:
set>2 选择钓鱼网站攻击向量
set:webattack>3选择登录密码截取攻击
set:webattack>2进行克隆网站:
输入kali的IP地址:
输入要克隆的网址(此处选择了蓝墨云班课登录界面的网址https://www.mosoteach.cn/web/index.php?c=passport&m=index):
此时在主机或其他虚拟机(需提前能ping通)浏览器输入kali的IP地址:
在浏览器克隆出来的云班课登录界面输入账号密码后,在kali能看到输入的账号和密码:
-ettercap DNS spoof
使用指令ifconfig eth0 promisc将kali网卡改为混杂模式
输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改
这里添加了 蓝墨云登录界面和博客园官网,后面输入的IP地址都是kali的IP地址
输入ettercap -G指令,开启ettercap,会自动弹出来一个ettercap的可视化界面,选择网卡eth0 ,点击√ 开始监听
在右上角的三个点中选择Hosts—>Scan for hosts
被攻击的IP地址为192.168.0.14,网关为192.168.0.1
左上角查看host list
将被攻击机的网关IP添加到target1,将被攻击机IP添加到target2
在右上角的三个点中选择Plugins—>Manage the plugins
选择dns_spoof即DNS欺骗的插件,选中回车即可开启
在被攻击机命令端口输入ping www.cnblogs.com命令结果如下,可以看到其实是给攻击机也就是kali虚拟机发送ping命令
kali端看到反馈信息
-结合应用两种技术,用DNS spoof引导特定访问到冒名网站
由于在任务一克隆的直接是云班课登录的链接,在任务二中修改缓存表时添加了cnblogs的链接。所以在被攻击机浏览器中直接输入cnblogs的链接就相当于输入了kali的ip,也就能打开被克隆的云班课登录界面。
此时在kali能捕获到登录的用户名和密码
实验中遇到的问题
问题:任务一是在主机中输入的kali的ip,没问题。任务二想试试在虚拟机中,但无奈试了好几个虚拟机都不能联网,就很奇怪,同一个vm平台,虚拟机设置也一样,为什么一个能联网,一个连不上
解决:后来就按之前设置方法,把所有的设置重新来了一遍,windows虚拟机也能联网了
基础问题回答
-通常在什么场景下容易受到DNS spoof攻击
(1)攻击机和靶机在同一子网中容易受到DNS spoof攻击
(2)靶机连接无需密码的WiFi也容易受到DNS spoof攻击
-在日常生活工作中如何防范以上两攻击方法
(1)不随意链接未知WiFi与开放WiFi
(2)登录时验证网站证书,查看网站证书与其域名是否匹配
(3)使用入侵检测系统可以检测出大部分形式的DNS欺骗攻击
(4)输入密码时要仔细查看网页链接,一般银行或交易网页使用的都是https
实践总结与体会
这次实验相比之前的几次实验思路较为简单,操作也很容易。通过这次实验,我体会到了钓鱼网站的实现原理,也明白了不能轻易地点不确定安全性的网址,更不能随便连wifi,另一台电脑能ping通你,就没准会点到钓鱼网站,要加强防范。