2018-2019-2 网络对抗技术 20165336 Exp7 网络欺诈防范
1.基础问题回答
- 问:通常在什么场景下容易受到DNS spoof攻击?
- 答:同一局域网下、各种公共网络。
- 问:在日常生活工作中如何防范以上两攻击方法?
- 答:DNS欺骗攻击大多是被动的。一般情况下,如果不留意、防范我们的DNS很容易被欺骗。这需要在打开常用网页时,仔细检查网址是否被篡改;在公共环境下不随便使用不能保障安全的公共网络;使用最新版本的DNS服务器软件,并及时安装补丁;使用入侵检测系统:只要正确部署和配置,使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。
2.实践过程记录
一、简单应用SET工具建立冒名网站
- 由于要将钓鱼网站挂在本机的http服务下,所以需要将SET工具的访问端口改为默认的80端口。使用
sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件,将端口改为80,如下图所示:
- 在kali中使用
netstat -tupln |grep 80命令查看80端口是否被占用。如果有,使用kill+进程号杀死该进程。如下图所示,无其他占用:
apachectl start开启Apache服务:
setoolkit打开SET工具:
- 选择
1:Social-Engineering Attacks即社会工程学攻击
- 选择
2:Website Attack Vectors即钓鱼网站攻击向量
- 选择
3:Credential Harvester Attack Method即登录密码截取攻击
- 选择
2:Site Cloner进行克隆网站
- 攻击机IP:
192.168.31.131,即Kali的IP
- 输入被克隆的url:
- 在提示后按回车,提示“
Do you want to attempt to disable Apache?”,输入y
-
靶机上在阅览器里输入攻击机IP:
192.168.31.131,跳转到被克隆的网页. -
攻击机上可以看到如下,用户名和密码,攻击机可全部获取:
二、ettercap DNS spoof
- 使用
ifconfig eth0 promisc将kali网卡改为混杂模式; - 输入命令
vi /etc/ettercap/etter.dns对DNS缓存表进行修改:
我添加的记录是(IP要换成自己的kali主机IP)
www.cnblogs.com A 192.168.1.113
- 使用
ettercap -G开启ettercap,点击工具栏中的“Sniff”——>“unified sniffing”
- 在弹出的界面中选择“
eth0”——>“ok”,即监听eth0网卡
- 点击工具栏中的“
Hosts”——>“Scan for hosts”扫描子网
- 点击工具栏中的“
Hosts”——>“Hosts list”查看存活主机
- 将kali网关的IP:
192.168.1.1添加到target1,靶机IP:192.168.1.113添加到target2:
- 点击工具栏中的“
Plugins”——>“Manage the plugins”,选择“dns_spoof”即DNS欺骗的插件,双击后下方提示如下:
-
然后点击左上角的“
start”——>“Start sniffing”选项开始嗅探 -
靶机ping结果
三、结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
- 综合以上两种技术
- 首先按照任务一的步骤克隆一个登录页面
- 然后按照任务二实施DNS欺骗
- 在靶机输入网址
www.mosoteach.cn可以发现成功访问我们的冒名网站:
ettercap的控制台显示连接信息
,在kali中也可看到连接的信息和用户名、密码
实验总结与体会
通过本次实验,我学会了利用学过的工具来进行网站克隆,从而进行社会工程学攻击,往往我知道在相关的邮箱文件里,通过类似的邮件发送,内容含有克隆网站的危险邮件很多,一不留神便会受到攻击,往往会让攻击者获得用户名和密码,这是十分危险的。所以我们应该注意防范,在公共场合尽量别使用公共wifi,保护自己的信息安全。