• 2019-2020-2 网络对抗技术 20175327 蜂凯南 Exp7 网络欺诈防范


    一、实验目标

    本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。

    二、基础知识

    1.实践要求

    理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。

    2.指令/参数

    /etc/apache2/ports.conf   # Apache的端口文件
    /etc/ettercap/etter.dns   # DNS缓存表
    

    3.预备知识

    SET

    • Social-Engineer Toolkit,社会工程学工具包,由TrustedSec的创始人创建和编写,是一个开源的Python驱动工具,旨在围绕社交工程进行渗透测试,已经在包括Blackhat,DerbyCon,Defcon和ShmooCon在内的大型会议上提出过,拥有超过200万的下载量,旨在利用社会工程类型环境下的高级技术攻击。

    Ettercap

    • 具有嗅探实时连接、内容过滤等功能,支持插件,可以通过添加新的插件来扩展功能;
    • 工作原理是将网络接口设置为混杂模式并通过ARP欺骗感染目标设备,由此该设备成为“中间人”并发动对受害者的各类攻击;
    • 支持对许多协议(包括加密协议)的主动和被动分离,并具有网络和主机分析方面的多项功能,包含四种操作模式:
      • 基于IP的模式:根据IP源和目的地过滤数据包;
      • 基于MAC的模式:根据MAC地址过滤数据包,该模式能够对嗅探通过网关的连接起到作用;
      • 基于ARP的模式:利用ARP欺骗方式在两个主机之间的交换式局域网(全双工即支持双方同时发送信息)上进行嗅探;
      • 基于公共ARP的模式:利用ARP欺骗方式从一台受害者主机到其它所有主机的交换式局域网(全双工)上进行嗅探。
    • 具体功能
      • 在已建立的连接中注入字符:将字符注入到服务器(模拟命令)或客户端(模拟回复)并同时保持实时连接;
      • SSH1支持:嗅探用户名和密码,甚至是SSH1连接的数据(能够以全双工方式嗅探SSH连接);
      • HTTPS支持:嗅探HTTP SSL连接上的加密数据——通过Cisco路由器的GRE tunnel对远程流量进行嗅探,并对它进行”中间人攻击”;
      • 插件支持:使用Ettercap的API创建自定义插件;
      • 密码收集:可以收集以下协议的密码信息——TELNET、FTP、POP、IMAP、rlogin、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、Napster、IRC、RIP、BGP、SOCKS 5、IMAP 4、VNC、LDAP、NFS、SNMP、Half-Life、Quake 3MSN、YMSG;
      • 数据包过滤/丢弃:设置一个过滤器,用于在TCP或UDP有效内容中查找特定字符串(或十六进制序列),并用自定义字符串/序列替换它,或丢弃整个数据包;
      • 操作系统指纹:可以提取受害主机及其网络适配器的操作系统信息;
      • 终止连接:从connections-list(连接列表)中终止所选择的连接;
      • 局域网的被动扫描:检索局域网上的主机信息、开放端口、可用服务的版本号、主机(网关、路由器或简单PC)的类型以及跃点数的预估距离;
      • 劫持DNS请求;
      • 主动或被动地在局域网中找到其它受感染者的功能。

    三、实验步骤

    任务一:简单应用SET工具建立冒名网站

    由于要将钓鱼网站挂在本机的http服务下,所以需要将SET工具的访问端口改为默认的80端口。使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件,将端口改为80,如下图所示:
    

    使用netstat -tupln |grep 80命令查看80端口是否被占用。如果有,使用kill+进程号杀死该进程

    使用apachectl start开启Apache服务

    输入sudo setoolkit出现bash:setoolkit:未找到命令系统显示未安装,使用命令进行安装

    安装成功后输入setoolkit进入SET工具(输入Y)

    选择1:Social-Engineering Attacks即社会工程学攻击

    选择2:Website Attack Vectors即钓鱼网站攻击向量

    输入3 :Credential Harvester Attack Method即登录密码截取攻击

    选择2:Site Cloner进行克隆网站

    输入攻击机(kali)IP:192.168.78.128
    输入被克隆的url:https://www.mosoteach.cn/web/index.php?c=passport&m=index
    然后诱骗目标机输入kali的ip地址后进行信息的抓取

    靶机的浏览器中输入攻击机的IP地址

    在假冒网站输入账号密码后,kali中也获取到了账号和密码。

    任务二:ettercap DNS spoof

    使用sudo ifconfig eth0 promisc将kali的网卡改为混杂模式
    输入命令sudo vi /etc/ettercap/etter.dns,打开DNS缓存表并进行修改,添加两条记录www.mosoteach.cn A 192.168.78.128,www.cnblogs.com A 192.168.78.128

    使用sudo ettercap -G开启ettercap,并点击√开始扫描(这里注意Primary interface应该为eth0,如果不是的话就改成eth0)

    点击右上角的三个点,然后依次选择Hosts、Scan for hosts扫描子网
    在Host list中查看扫描到的存活主机

    靶机IP

    选中靶机网关的地址添加到Target 1,靶机地址添加为Target 2

    点击Plugins——>Manage the plugins,然后双击dns_spoof选择DNS欺骗的插件。

    靶机PingDNS缓存表中添加的网站,解析地址都是攻击机的IP地址

    然后靶机执行ping操作,ping www.cnblogs.com,然后kali中可以收到提示。

    没有DNS欺骗的ping结果

    任务三:结合应用两种技术,用DNS spoof引导特定访问到冒名网站

    启动SET工具的网站克隆和Ettercap dNS_spoof

    在靶机输入DNS缓存表中添加的网站

    回到攻击机查看获取的账号密码和Ettercap捕获到的访问记录

    登录后

    四、基础问题回答

    (1)通常在什么场景下容易受到DNS spoof攻击?

    攻击机和靶机都在同一个网段里,比如公共WiFi。

    (2)在日常生活工作中如何防范以上两攻击方法?

    第一种:一定要仔细看域名,要看看有没有证书,安全认证信息。
    第二种:尽量不访问http的网页,实验中可以知道https会阻止这种攻击,而http不会。

    五、实验体会

    本次实验学会了如何利用各种工具克隆网页。在整个过程中,dns欺骗没有想象中的难,相反,通过简单伪装便能获取个人信息。 我们需要更加警惕,在同一个子网中就能如此轻松地对对方进行攻击(类似之前的后门程序),并且能将这个钓鱼网站伪装得如此相像,让我们在未来的工作岗位上不得不加强对网络攻击的防范意识。

  • 相关阅读:
    Gym 102040B Counting Inversion(超级数位dp)
    Educational Codeforces Round 104 (Rated for Div. 2)(A~D)
    2018-2019 ACM-ICPC Pacific Northwest Regional Contest (Div. 1)_组队训练
    线段树板子
    Codeforces Round #700 (Div. 2)
    Codeforces Round #699 (Div. 2)
    Codeforces Round #698 (Div. 2)
    字典树——实现字符串前缀查找(可返回字符串)
    LeetCode146-LRU缓存机制
    用到过的git命令
  • 原文地址:https://www.cnblogs.com/hollfull/p/12888305.html
Copyright © 2020-2023  润新知