Exp7 网络欺诈防范

网络欺诈技术防范

目录

• 简单应用SET工具建立冒名网站
• ettercap DNS spoof
• 结合应用两种技术，用DNS spoof引导特定访问到冒名网站
• 基础问题回答
• 实验总结与体会

实践内容（3.5分）

本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。具体实践有：

（1）简单应用SET工具建立冒名网站 （1分）

（2）ettercap DNS spoof （1分）

（3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。（1.5分）

实践一：简单应用SET工具建立冒名网站

Apache服务：apache是个web服务器。你将网站放在上面架设好，外界就可以访问。
apache服务工作原理
（1）打开Apache服务

• 先使用netstat -tupln |grep 80检查80端口是否被占用,如果被占用kill + 进程号杀死进程
  
• 修改Apache端口配置文件/etc/apache2/ports.conf
• 
• 使用apachectl start打开Apache服务。

（2）SET工具的开启与使用

• 使用setoolkit打开SET工具包
  

先选择 1) Social-Engineering Attacks
再选择 2) Website Attack Vectors
再选择  3) Credential Harvester Attack Method
醉湖选择 2) Site Cloner

• 配置攻击机ip
  
• 选择克隆网站：
  
• 完成配置后，将自己的IP通过短地址转换器处理转换成为一个看上去还不错的网址，然后散播出去等着鱼儿上钩。
  
• 腾讯大法好呀，让我截取失败了
  
• 找找原因吧。。

猜想：会不会是坚挺的是80端口只针对http协议，而QQ空间使用的是https协议，端口为443.

在查找资料的时候找到学长的博客里面写了一个QQ邮箱的，参考进去查看相关文件

1. 第一步查看/var/www/html下的post.php里面主要就是file_put_contents函数，就是把抓到的内容写到txt文件里。
   
2. 接着看了一下我们克隆的QQ邮箱的登录页面index.html，我们都知道一般向服务器发送数据都是通过表单提交的，上面做的教务网站的登录页面就是直接用form提交的，后面查了一下setoolkit也是使用的表单提交数据，于是我先看了下index.html源代码里的form：
   
3. 发现不太对啊，为什么没有提交数据的输入框？后面找了一下，发现它做了一个iframe，在里面嵌套了一个url链接：
   
4. 我们打开这个链接看看里面究竟是啥，惊奇的发现原来这才是真正的登录页面：
   

• 找到正确的地址后，我又重新尝试了一下好像还是未成功耶。
• 
• 成功实例登陆某校的教务管理系统
  -

（2）ettercap DNS spoof （1分）

第一步：

• 输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改，如图所示，我添加了一条对博客园网站的DNS记录，图中的IP地址是我的kali主机的IP：
  
• 输入命令ifconfig eth0 promisc开启混杂模式，便于监听整个局域网络的数据包

第二步 打开配置ettercap

• 输入ettercap -G，开启ettercap，会自动弹出来一个ettercap的可视化界面
• 点击工具栏中的Sniff—>unified sniffing
• 之后会弹出界面，选择eth0
• 
• 在工具栏中的Hosts下点击扫描子网，并查看存活主机Scan for hosts Hosts list
• 将网关右键添加到target1，将靶机右键添加到target2
• 
• 选择Plugins—>Manage the plugins，在众多plugins中选择DNS欺骗
• 
• 然后点击左上角star->star sniffing，开始嗅探
• 

（3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。（1.5分）

实验原理：通过DNS欺骗，将靶机IP连接到相应的攻击机和靶机共用的网关，进而访问kali的DNS缓存表，将用户诱导向本机IP，结合SET工具，捕获靶机提交到的POST包

实验过程

• 步骤一：重复一遍ettercap DNS spoof中的步骤
• 步骤二：打开SET工具。步骤类似实践一：
• 步骤三：访问页面，监听本机变化

实验结果：

DNS spoof + SET冒名网站可以让用户们从网址上无法辨别网站真伪，提高了冒名网站真实性，让用户更容易上钩。我们可以使用用户使用频率非常高的网址来做DNS欺骗。例如www.baidu.com 那得有多少人受骗，想想都觉得可怕。

基础问题回答

（1）通常在什么场景下容易受到DNS spoof攻击 （1分）

实验的过程中可以知道在同一局域网下比较容易受到DNS spoof攻击，攻击者可以冒充域名服务器，来发送伪造的数据包，从而修改目标主机的DNS缓存表，达到DNS欺骗的目的；
连接公共场合的免费WiFi也容易受到攻击，尤其是那种不需要输入密码直接就可以连接的更加可疑。

（2）在日常生活工作中如何防范以上两攻击方法 （1分）

直接使用IP登陆网页。这种最安全也最麻烦。
平时多警惕，别乱点链接。

实验总结与体会

本次实验过程中主要受挫的是第三个实践。一直未成功。仔细思考反思了一下是逻辑问题。启动SET 和DNS spoof的顺序先后问题。
做完实验后，仔细想想感觉到很恐怖，想想现在的pyq全都是链接，万一其中隐藏了那么一两个，我还不开眼的去输入了用户名 密码，那我不是GG了。

实践参考