1.实践原理说明
1.1 实践目标
本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
1.2 实践内容
1.2.1 简单应用SET工具建立冒名网站 (1分)
1.2.2 ettercap DNS spoof (1分)
1.2.3 结合应用两种技术,用DNS spoof引导特定访问到冒名网站。(2分)
1.2.4 请勿使用外部网站做实验
2.实践过程记录
2.1 简单应用SET工具建立冒名网站
Step1:将SET工具的访问端口改为80端口
我们要建立一个钓鱼网站,然后把他挂在本机的http服务下,要使用的端口是80端口。所以我们需要将SET工具的访问端口改为80端口。
我们输入命令: sudo vi /etc/apache2/ports.conf 修改Apache的端口文件,可以看到,此时set工具的访问端口已经是80端口了,所以就不需要修改了,如果不是80,我们要将端口号修改为80,如下图所示:
Step2:查看80端口是否被占用
输入命令 netstat -tupln |grep 80
可以看到80端口并未被占用。
如果有进程占用了这个端口,可使用命令 kill+进程号 结束该进程
Step3:开启Apache服务
输入命令 apachectl -k start 开启Apache服务
Step4:启动set工具
在kali攻击机输入命令 setoolkit
Step5:选择攻击方式
- 选择1,社会工程学攻击
- 选择2,钓鱼网站攻击向量
- 选择
3,认证获取攻击
- 选择
2,站点克隆
- 接着输入kali的ip地址
- 输入要被克隆的网站:这里我克隆的是我的博客首页
- 接下来在“Do you want to attempt to disable Apache?”的后面输入 y
- 这时我们在靶机上输入kali的ip地址 192.168.117.128 就可以打开我们克隆网页了
- 在攻击机kali端我们已经可以看到靶机的访问信息了。如果用户在靶机上输入用户名密码登录,还可以获取输入的用户名和密码。
Step6:迷惑一下
- 一般不可能让受害者直接访问我们的ip地址,我们来使用短网址生成器伪装一下我们的网址。如下图所示:
- 接着我们在靶机上输入这个生成的网址
- 会先有一个几秒后跳转至目标页面的提示
- 几秒钟之后会直接跳转到我们克隆的页面
2.2 ettercap DNS spoof
Step1:将网卡设为混杂模式
- 我们需要输入命令 ifconfig eth0 promisc ,将网卡设为混杂模式,这样就能接收所有经过它的数据流
- 使用
ifconfig eth0检查
Step2:修改DNS缓存表
输入命令 vi /etc/ettercap/etter.dns 对DNS缓存表进行修改。
在这里我添加了两条记录:
www.mosoteach.cn A 192.168.117.128 www.cnblogs.com A 192.168.117.128
www.baidu.com A 192.168.117.128
Step3:ettercap -G可视化界面
- 接着,我们输入命令 ettercap -G 启动ettercap可视化界面
- 我们选择好网卡为eth0 ,并且点击
√开始监听
- 在右上角的工具栏中选择 Hosts——>Scan for hosts 扫描子网
- 点击 Hosts——>Hosts list ,查看存活主机
- 输入命令 ifconfig -a 查看kali网关
- 攻击机kali的网关为 192.168.117.2 ,靶机Windows7的IP为 192.168.117.128
将攻击机网关的IP添加到target1,将靶机IP添加到target2
- 点击右上角工具栏中的 Plugins——>Manage the plugins
- 双击开启 dns_spoof ,也就是DNS欺骗的插件
- 点击左上角开始,此时处于嗅探模式下
- 在靶机中对刚刚在DNS缓存表中添加的网站执行ping命令,结果如下:
可以看到,这几个网站的ip地址都变成了kali攻击机的地址了。
- kali端看到反馈信息如下:
2.3 结合应用两种技术,用DNS spoof引导特定访问到冒名网站
Step1:按照第一个实践的步骤克隆一个登录页面
- 这里我选择qq邮箱
- 当靶机访问qq邮箱这个网页时,实际上访问了kali攻击机服务器
Step2:使用ettercap DNS spoof技术进行DNS欺骗
使用SET技术通过kali攻击机的地址,跳入克隆后的冒名钓鱼网站,输入登录密码等信息,就会被盗取信息
这里我输入 www.baidu.com 弹出的确实qq邮箱的登陆 界面
- 这里很奇怪的是,当我输入百度的地址,是可以访问到qq邮箱,但是上面的网址也会变成qq邮箱的网址
- 重新尝试了几遍之后,我发现即使是输入kali的ip地址,也是这样,可以访问qq邮箱,但是网址也会变成邮箱的网址
- 也抓不到输入的信息
- 我猜想这可能是qq邮箱这个网站设置的某种保护措施吧
后来我重新用超星学习通的页面进行尝试,就可以正常显示网址和网页。
但是在kali端还是无法正常显示我输入的用户名和密码。
这应该也是一种保护。
最后尝试了知乎网站,就正常了。
3.基础问题回答
3.1 通常在什么场景下容易受到DNS spoof攻击
- 当我们在同一局域网下容易收到DNS spoof攻击
- 所以平时不要连接未知的网络,很危险
3.2 在日常生活工作中如何防范以上两攻击方法
- 首先就是对于来源不明的网络不要连接
- 访问网站的时候要注意网址信息是否正确
- 也可以直接访问网站服务器的ip
- 不在来源不明的网页上输入个人信息以及密码口令这种重要的信息
- 使用入侵检测系统
- 在平时选择网站时选择可靠的大网站,比如说当我使用qq邮箱进行欺骗时,即使我能欺骗成功,但是依然获取不到我输入的信息。
4.实践总结与体会
- 本次实验总体来说比较容易,但是还是走了一点弯路,浪费了很久的时间,但也不都是无用功,还是懂了很多知识的。
- 之前的课上我们学习过DNS攻击,但自己动手实践才发现居然这么容易!这个成本也太低了点吧……
- 但是实验的内容还是比较基础的,因为我要设置被攻击者的ip地址,黑客们应该有更厉害的手段吧,我们还要加强专业知识的学习才行。