• 2019-2020-2 20174310隋润起《网络对抗技术》Exp7 网络欺诈防范


     一、实践目标

    1.1 实践目标

    • 理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。

    1.2 实践内容

    • 简单应用SET工具建立冒名网站
    • Ettercap dNS_spoof
    • 结合应用两种技术,用dNS_spoof引导特定访问到冒名网

    二、基础知识

    • SET
      • Social-Engineer Toolkit,社会工程学工具包,由TrustedSec的创始人创建和编写,是一个开源的Python驱动工具,旨在围绕社交工程进行渗透测试,已经在包括Blackhat,DerbyCon,Defcon和ShmooCon在内的大型会议上提出过,拥有超过200万的下载量,旨在利用社会工程类型环境下的高级技术攻击。
    • Ettercap
      • 具有嗅探实时连接、内容过滤等功能,支持插件,可以通过添加新的插件来扩展功能;
      • 工作原理是将网络接口设置为混杂模式并通过ARP欺骗感染目标设备,由此该设备成为“中间人”并发动对受害者的各类攻击;
      • 支持对许多协议(包括加密协议)的主动和被动分离,并具有网络和主机分析方面的多项功能,包含四种操作模式:
        • 基于IP的模式:根据IP源和目的地过滤数据包;
        • 基于MAC的模式:根据MAC地址过滤数据包,该模式能够对嗅探通过网关的连接起到作用;
        • 基于ARP的模式:利用ARP欺骗方式在两个主机之间的交换式局域网(全双工即支持双方同时发送信息)上进行嗅探;
        • 基于公共ARP的模式:利用ARP欺骗方式从一台受害者主机到其它所有主机的交换式局域网(全双工)上进行嗅探。
      • 具体功能:
        • 在已建立的连接中注入字符:将字符注入到服务器(模拟命令)或客户端(模拟回复)并同时保持实时连接;
        • SSH1支持:嗅探用户名和密码,甚至是SSH1连接的数据(能够以全双工方式嗅探SSH连接);
        • HTTPS支持:嗅探HTTP SSL连接上的加密数据——通过Cisco路由器的GRE tunnel对远程流量进行嗅探,并对它进行”中间人攻击”;
        • 插件支持:使用Ettercap的API创建自定义插件;
        • 密码收集:可以收集以下协议的密码信息——TELNET、FTP、POP、IMAP、rlogin、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、Napster、IRC、RIP、BGP、SOCKS 5、IMAP 4、VNC、LDAP、NFS、SNMP、Half-Life、Quake 3MSN、YMSG;
        • 数据包过滤/丢弃:设置一个过滤器,用于在TCP或UDP有效内容中查找特定字符串(或十六进制序列),并用自定义字符串/序列替换它,或丢弃整个数据包;
        • 操作系统指纹:可以提取受害主机及其网络适配器的操作系统信息;
        • 终止连接:从connections-list(连接列表)中终止所选择的连接;
        • 局域网的被动扫描:检索局域网上的主机信息、开放端口、可用服务的版本号、主机(网关、路由器或简单PC)的类型以及跃点数的预估距离;
        • 劫持DNS请求;
        • 主动或被动地在局域网中找到其它受感染者的功能。

    三、实践步骤

     3.1 简单应用SET工具建立冒名网站

    实验中需要使用http服务,因此需要使用到80端口。在kali中使用:

    netstat -tupln |grep 80 

    查看80端口是否被占用。

    如果有,使用:

    kill+进程号

    杀死该进程。

    使用

    sudo vi /etc/apache2/ports.conf

    修改Apache的端口文件,将端口改为80。

    apachectl start  

    开启Apache服务

    setoolkit 打开SET工具

    选择1: Social-Engineering Attacks(社会工程学攻击)

    选择2: Website Attack Vectors(钓鱼网站攻击向量 )

    选择3: Credential Harvester Attack Method(登录密码截取攻击)

     

    选择2: Site Cloner(进行克隆网站)

    输入攻击机(kali)IP:192.168.80.131

    同时输入被克隆的网址:

    https://www.mosoteach.cn/web/index.php?c=passport(云班课的首页)

    在靶机重输入攻击机的IP:192.168.80.131

    在其中输入账户密码,在攻击机中截获账户密码信息

    3.2Ettercap dNS_spoof

    将kali网卡改为混杂模式:

    ifconfig eth0 promisc

    修改DNS缓存表:

    vi /etc/ettercap/etter.dns

    www.mosoteach.cn A 192.168.80.131

    开启ettercap:

    ettercap -G

    将Primary interface设为: eth0

    开始扫描。【Scan for hosts】开始扫描。随后通过【Hosts list】查看扫描结果

    Target2是欺骗的目标ip,Target1是欺骗的网关。

    通过Plugins,开启【dns_spoof】。

    在靶机中ping之前输入的网址。

    ping www.mosoteach.cn

    可以看到kali中存在记录

    欺骗成功

    3.3 结合应用两种技术,用dNS_spoof引导特定访问到冒名网站

    综合使用以上两种技术,首先克隆一个登录页面,在通过任务二实施DNS欺骗,实现输入云课班的网站而进入了博客园的网站。

    1.按照克隆的步骤,将kali的ip192.168.80.131与博客园的首页【www.cnblogs.com】 关联。

    2.由于DNS表已经是www.mosoteach.cn A 192.168.80.131,故不需要重复设置。执行同样的嗅探步骤。

    3.靶机打开 【www.mosoteach.cn】 ,替换成功。

    四、基础问题回答

    • 通常在什么场景下容易受到DNS spoof攻击?

         通常在其他人设置的局域网中容易受到攻击,比如未知的无密码WIFI。我们可能只顾着免费的wifi,殊不知我们可能正在掉入其他人的陷阱之中。

    • 在日常生活工作中如何防范以上两种攻击方法?
    1. 浏览网页时注意查看网址,是否正规,是否是钓鱼网站。
    2. 不随便点击邮件或短信中来源未知的链接
    3. 当要输入账号密码时,尤其是重要的登陆时,一定要仔细确认网站是否安全,可以通过查看证书。
    4. 使用公共网络时,一定要注意网络安全,千万不要在公网中进行支付操作。

    五、实践总结

      这次实验实践性比较强,同时加强了自己对信息安全的认识,不要随意在未知的网络或者网站泄漏自己的信息,注意网站的证书等等,防止自己信息的泄漏。

  • 相关阅读:
    1295. 统计位数为偶数的数字『简单』
    1281. 整数的各位积和之差『简单』
    697. 数组的度『简单』
    748. 最短完整词『简单』
    832. 翻转图像『简单』
    1446. 连续字符『简单』
    1455. 检查单词是否为句中其他单词的前缀『简单』
    1160. 拼写单词『简单』
    1304. 和为零的N个唯一整数『简单』
    1103. 分糖果 II『简单』
  • 原文地址:https://www.cnblogs.com/srq111/p/12862835.html
Copyright © 2020-2023  润新知