20145203盖泽双 《网络对抗技术》实践七：网络欺诈技术防范

20145203盖泽双 《网络对抗技术》实践七：网络欺诈技术防范

1.实践目标

（1）简单应用SET工具建立冒名网站。
（2）简单应用ettercap工具进行DNS spoof。
（3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

2.实验后回答问题

（1）通常在什么场景下容易受到DNS spoof攻击
DNS欺骗攻击也叫中间人攻击，顾名思义，我们以为我们正在访问的是正常的服务器页面，不知情的是已经有一个人悄悄的插到我们和服务器中间，我们访问的其实是中间人为我们设计好的页面，这是如果我们输入我们正常登陆服务器需要的账号密码时，我们的账号密码就会泄露给中间人。所以我认为DNS欺骗攻击一般发生在我们在网络页面中输入账号密码的时候。
（2）在日常生活工作中如何防范以上两攻击方法
①防范ARP攻击——冒名网站：再无懈可击的冒名网站，也是需要我们主动去点开才可以发挥它的作用的，而且冒名网站一般都上不了大场面。所以我认为最好的方法就是不要轻易点开陌生人甚至好友发到邮箱中、短信中的网站链接，最好问清楚再点开。也不要随便点开内嵌在大网页中的小网页链接，更不要轻易的输入自己的账号密码等信息。
②防范DNS欺骗攻击：其实我认为这个是比较难以防范的，因为我们平常访问网站一般都是根据它的域名而不是ip地址，更不会打开网站之后，再去验证它的ip地址是否与官方的ip地址一样，这太麻烦了。比较好的解决方法而且能用在我们日常上生活中的就是以后访问页面时尽量使用IP地址访问以及设置自己的电脑对DNS数据包进行检测。

3.实验总结与体会

这次实验给我敲响了一个警钟，想想我以前如果收到邮件说我中奖了，要给我发钱发电脑什么的，我就会很开心的点开链接看看怎么领钱。我还记得领钱的时候要填的信息非常多，包括了我的姓名、住址、身份证号等等。现在想想就有点后怕，还好当时没有被钱财冲昏头脑，嫌麻烦就没有填，否则我的所有信息岂不是都暴露了！⊙﹏⊙∥
经过我的多次努力与尝试，最后终于抓到了想要的用户名和密码，还是明文的。最后的DNS欺骗攻击也成功的跳转到了我做的假冒网站上。以后会继续努力的(ง •_•)ง，感谢老师的细心教导，提前祝老师五一劳动节快乐！O(∩_∩)O

4.实践过程记录

（1）简单应用SET工具建立冒名网站

①确保kali与靶机之间可以ping通。

②为了让apache可以监听到靶机成功访问我们形成的假冒网页，我们应该让apache监听端口号为80的端口。现在我们看一下80端口是否正在被使用。

netstat  -tupln |grep 80

③我们可以看到80端口正在被进程号为578的gsad进程使用，现在我们利用kill语句将它删掉。

④将80端口空出来之后，我们打开apache的配置文件，将其监听的端口号改为80。

sudo vi /etc/apache2/ports.conf

⑤完成环境配置之后，我们开始生成假冒网站。在终端开启apache2进行监听。

service apache2 restart

⑥另开一个终端，打开set工具。

setoolkit

⑦在set工具打开界面中，选择1社会工程学攻击——>2网页攻击——>3钓鱼网站攻击——>2克隆网站

⑧下面需要填主机kali的ip地址，和我们想要克隆的页面。在这里我想克隆的是百度的登陆页面。因为我想要和下面的DNS欺骗攻击结合起来，在DNS欺骗攻击中将kali的ip地址同百度绑定起来。希望达到的效果是：靶机在访问百度页面时无法访问正常的百度页面，会访问kali主机的百度登陆页面，这样关联起来更可信一些，更容易让用户觉得访问百度页面需要登陆百度页面很正常，然后就输入自己的百度账号密码。这样我们就可以窃取登陆用户的信息了。

⑨将只含我们IP的域名进行一下变形，让它看起来像一个正常的网站地址。

⑩将这个网址通过邮件的方式发到别人的邮箱上，邮件最好加工一下，让别人有很想把这个网址点开的感觉。点击后有一个页面跳转，最后会跳转到我们的登陆页面上。

问题：最后有一个非常匪夷所思的事情就是我在kali里面可以正常的使用浏览器打开这个网址，但是用我的主机打开就不行！这是为什么呢？(；′⌒`)
我觉得可能是我克隆的页面不是那么官方，我决定实验做完之后再换一个克隆网页尝试一下！(ง •_•)ง
解决方法：最后我发现我的主机是windows10版本的，IE也是最高版本的，所以我觉得他可能检测到了不正常的页面访问，所以就阻止了，显示页面无法显示。可见系统或者软件的版本高一点的话，还是有一定的好处的。相同的网址我在老师给的XP系统中打开就可以跳转到正常的百度登陆页面。ARP欺骗攻击成功。

⑩①一开始我没有抓到百度的登陆账号，后来小天使张亚军告诉我是因为有些页面太强，有一种防护的机制，让我换一个网站试一下。我后来换了一个连证书都没有的登陆网站试了一下，果然成功的抓到了我登陆的用户名和密码！

（2）简单应用ettercap工具进行DNS spoof

①在kali终端将kali的网卡改为混杂模式。

混杂模式：接收所有经过网卡的数据包，包括不是发给本机的包。

ifconfig eth0 promisc

②在ettercap的dns文件中添加新指令，将kali的IP同百度的域名绑定到一起。

vi /etc/ettercap/etter.dns

③查看靶机的ipv4地址和默认网关和百度的ip地址。

④在终端开启ettercap工具，这个工具是有图形化界面的。

ettercap -G

⑤在图形化界面的工具栏中选择Sniff——>Unified sniffing出现如下图示界面，选择OK。

⑥在图形化界面的工具栏中选择Hosts——>Scan for hosts，扫描我们子网中存活的主机。然后选择Hosts——>Hosts list，查看存活的主机列表。我们可以在里面成功发现靶机的默认网关以及IP地址，我们分别将他们加入到Target1和Target2中。

⑦因为我们要对选择的靶机进行DNS欺骗攻击，所以我们需要添加一个DNS欺骗插件。Plugins——>Manage the plugins，在里面双击选择dns_spoof插件即可进行使用。

⑧在图形化界面的工具栏中选择Start——>Start sniffing，开始对靶机实行DNS欺骗攻击。
⑨在靶机中ping百度的域名可以发现，百度的ip地址成了kali的ip地址。

（3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

①在此次实验中我们对靶机192.168.52.131进行了DNS欺骗攻击，所以当此用户试图访问http://baidu.com/ 网站时，由于我们事先已将kali的ip与此域名进行了绑定，所以页面会跳转到以kali的ip为域名的网页。第一个实践ARP欺骗攻击中我们又将百度的登陆页面克隆为了kali的主页，所以最终用户访问http://baidu.com/ 时会跳转到百度登陆页面。此时用户可能以为访问百度需要事先登陆所以就会轻易的输入账号密码，这样我们就可以获得用户的站号密码。