20175122邱昕网络对抗技术exp7网络欺诈防范

1. 实践内容（3.5分）

 本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。具体实践有

（1）简单应用SET工具建立冒名网站 （1分）

（2）ettercap DNS spoof （1分）

（3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。（1.5分）

（4）请勿使用外部网站做实验

.基础知识

SET

Social-Engineer Toolkit，社会工程学工具包，由TrustedSec的创始人创建和编写，是一个开源的Python驱动工具，旨在围绕社交工程进行渗透测试，已经在包括Blackhat，DerbyCon，Defcon和ShmooCon在内的大型会议上提出过，拥有超过200万的下载量，旨在利用社会工程类型环境下的高级技术攻击。

Ettercap

具有嗅探实时连接、内容过滤等功能，支持插件，可以通过添加新的插件来扩展功能；

工作原理是将网络接口设置为混杂模式并通过ARP欺骗感染目标设备，由此该设备成为“中间人”并发动对受害者的各类攻击；

支持对许多协议(包括加密协议)的主动和被动分离，并具有网络和主机分析方面的多项功能，包含四种操作模式：

基于IP的模式：根据IP源和目的地过滤数据包；

基于MAC的模式：根据MAC地址过滤数据包，该模式能够对嗅探通过网关的连接起到作用；

基于ARP的模式：利用ARP欺骗方式在两个主机之间的交换式局域网(全双工即支持双方同时发送信息)上进行嗅探；

基于公共ARP的模式：利用ARP欺骗方式从一台受害者主机到其它所有主机的交换式局域网(全双工)上进行嗅探。

具体功能

在已建立的连接中注入字符：将字符注入到服务器(模拟命令)或客户端(模拟回复)并同时保持实时连接；

SSH1支持：嗅探用户名和密码，甚至是SSH1连接的数据(能够以全双工方式嗅探SSH连接)；

HTTPS支持：嗅探HTTP SSL连接上的加密数据——通过Cisco路由器的GRE tunnel对远程流量进行嗅探，并对它进行”中间人攻击”；

插件支持：使用Ettercap的API创建自定义插件；

密码收集：可以收集以下协议的密码信息——TELNET、FTP、POP、IMAP、rlogin、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、Napster、IRC、RIP、BGP、SOCKS 5、IMAP 4、VNC、LDAP、NFS、SNMP、Half-Life、Quake 3MSN、YMSG；

数据包过滤/丢弃：设置一个过滤器，用于在TCP或UDP有效内容中查找特定字符串(或十六进制序列)，并用自定义字符串/序列替换它，或丢弃整个数据包；

操作系统指纹：可以提取受害主机及其网络适配器的操作系统信息；

终止连接：从connections-list(连接列表)中终止所选择的连接；

局域网的被动扫描：检索局域网上的主机信息、开放端口、可用服务的版本号、主机(网关、路由器或简单PC)的类型以及跃点数的预估距离；

劫持DNS请求；

主动或被动地在局域网中找到其它受感染者的功能。

实践内容

1.简单应用SET工具建立冒名网站

sudo su获取权限

netstat -tupln |grep 80查看80端口是否被占用。如果有，使用kill+进程号杀死该进程

由于要将钓鱼网站挂在本机的http服务下用vi /etc/apache2/ports.conf命令修改文件将SET工具的访问端口改为默认的80端口

 

用 apachectl start开启Apache服务出现错误

setoolkit打开SET工具

1：Social-Engineering Attacks（社会工程学攻击）

 

2：Website Attack Vectors（钓鱼网站攻击向量 ）

3：Credential Harvester Attack Method（登录密码截取攻击）

2：Site Cloner（进行克隆网站）

输入攻击机（kali）IP：192.168.81.135

 输入被克隆的网址：https://www.mosoteach.cn/web/index.php?c=clazzcourse

 在靶机浏览器上输入攻击机IP：192.168.81.135，按下回车后跳转到被克隆的网页

输入自己的登录名和密码，点击登录，发现无法打开网页

 返回kali，发现已经截取了登录名和密码打码

2.ettercap DNS spoof

使用指令sudo ifconfig eth0 promisc将kali网卡改为混杂模式

以root用户输入命令sudo vi /etc/ettercap/etter.dns,打开DNS缓存表并进行修改

 ：wq保存退出

用ettercap -G开启ettercap

 点击 ✔ 开始扫描

在右上角的选择“Hosts”——>“Scan for hosts”扫描子网

右侧三个小竖着的点里的hostlist可以查看活跃的主机

 netstat -rn查看kali的网关地址

虚拟机的网关为192.168.81.2，靶机Windowsxp的IP为192.168.81.137；
将网关的IP添加到target1，将靶机IP添加到target2

 选择右上角的地图标志，点击mitm>arp poisoning，选择sniff remote connections点OK确定

 选择右上角的工具栏Plugins—>Manage the plugins，,选择dns_spoof即DNS欺骗的插件

 

 然后靶机执行ping www.baidu.com，会发现靶机解析的地址是攻击机的IP地址，观察kali端也可以看到连接

 

 

3.结合应用两种技术，用DNS spoof引导特定访问到冒名网站

克隆一个网页

 还是蓝墨云

接着dns攻击

 

 由于windows版本问题乱码

kali端

 

2 报告内容：

  2.1.基础问题回答

   （1）通常在什么场景下容易受到DNS spoof攻击

局域网，开放性的网络，即没有防火墙的网络

   （2）在日常生活工作中如何防范以上两攻击方法

建立有效防火墙，多使用二维码登录，钓鱼网站一帮没有二维码登录

  2.2.实践总结与体会

dns是比较简单的钓鱼网站，在生活中我也遇到过，比如游戏的活动网站被克隆做成钓鱼网站，但是由于无法验证二维码一般没有二维码登录的选项，可以说二维码登录能避免绝大多数钓鱼行为