20181224《网络攻防技术》Exp7 网络欺诈防范

20181224《网络攻防技术》Exp7 网络欺诈防范

目录

• 20181224《网络攻防技术》Exp7 网络欺诈防范
  • 相关知识点总结
    • ARP Spoofing
    • IP源地址欺骗
    • DNS Spoofing
  • 实验内容
  • 实验步骤
    • 简单应用SET工具建立冒名网站
    • ettercap DNS spoof
    • 结合应用两种技术，用DNS spoof引导特定访问到冒名网站
  • 实验总结及问题回答
  • 实验中遇到的问题及解决方法

相关知识点总结

ARP Spoofing

• ARP缓存机制
  • static:在windows下使用arp -s静态查询IP与MAC地址的对应关系
  • Dynamic:根据ARP应该更新
• ARP动态更新的机制：广播请求，单波应答。ARP应答包并非都是请求触发的，且接受者相信所有接收到的应答包，所以造成了ARP Spoofing

IP源地址欺骗

• 原理：发送数据包时，使用假的源IP地址
• 网关、路由器、防火墙一般不检查源IP地址。

DNS Spoofing

• 原理：攻击者冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址。
• 两种类型
  • 真服务器假数据
  • 假服务器假数据

实验内容

• 简单应用SET工具建立冒名网站
• ettercap DNS spoof
• 结合应用两种技术，用DNS spoof引导特定访问到冒名网站](
• 请勿使用外部网站做实验

实验步骤

简单应用SET工具建立冒名网站

• 查看80端口是否被占用netstat -tupln |grep 80若被占用就使用kill 进程号进行删除

• 修改Apache的端口修改为80sudo vi /etc/apache2/ports.conf

• 开启Apache服务systemctl start apache2

• 开启set工具setoolkit

• 选择社会工程学攻击1

• 选择与网站相关的攻击2

• 选择截取登录用户及密码攻击方式3

• 选择克隆网站2

• 输入攻击机IP：10.1.1.108，即Kali的IP

• 在提示后输入键盘enter，提示“Do you want to attempt to disable Apache?”，选择y

• 输入被克隆的url：http://192.168.200.83/cas/login，我选的是学校的官网登录界面。

• 攻击机上可以看到如下提示：

• 为了起到迷惑靶机的作用，我们将靶机IP伪装成一串地址:

• 在靶机输入（可能是错误的）用户名和密码，攻击机可全部获取：

ettercap DNS spoof

• 将kali网卡改为混杂模式ifconfig eth0 promisc

• 对DNS缓存表进行修改vi /etc/ettercap/etter.dns，我添加的两条记录是（直接在最后加就可以了）：

www.mosoteach.cn A 192.168.209.129  //IP要换成自己的kali主机IP
www.cnblogs.com A 192.168.209.129

• 开启ettercapettercap -G

• 在弹出的窗口选择eth0→确定，监听eth0网

• 点击左上角Scan for hosts扫描子网，再点击Hosts list查看存活主机，在win7命令行中输入ipconfig查看默认网关为192.168.209.2

• 将kali网关的IP即192.168.209.2添加到Target1，将靶机Win7的IP即192.168.209.140 192.168.209.132添加到Target2

• 点击左上角Plugins→Manage the plugins，双击dns_spoof选择DNS欺骗的插件

• 点击左上角Start→Start sniffing开始嗅探，在靶机Win7命令行中输入ping www.mosoteach.cn和ping www.cnblogs.com（第1步在DNS缓存表中添加的网站），会发现解析的地址是攻击机kali的IP

• 回到kali，发现ettercap捕获到了一条访问记录

---

结合应用两种技术，用DNS spoof引导特定访问到冒名网站

• 按照任务一的步骤克隆一个登录页面，在靶机Win7的浏览器中输入kali的IPhttp://192.168.209.129/，跳转成功

• 按照任务二的步骤实施DNS欺骗，在靶机Win7的浏览器中输入在DNS缓存表中添加的一个网址，如www.mosoteach.cn，发现可以成功访问冒名网站，输入（假）用户名和密码

• kali可全部获取

实验总结及问题回答

• 通常在什么场景下容易受到DNS spoof攻击

• 在同一局域网下比较容易受到DNS spoof攻击，所以就应该谨慎使用没有密码的公用网络

• 在日常生活工作中如何防范以上两攻击方法

• 使用最新版本的DNS服务器软件，并及时安装补丁；
• 可以将IP地址和MAC地址进行绑定，很多时候DNS欺骗攻击是以ARP欺骗为开端的，所以将网关的IP地址和MAC地址静态绑定在一起，可以防范ARP欺骗，进而放止DNS spoof攻击。
• 使用入侵检测系统：只要正确部署和配置，使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击
• 谨慎使用公用网络

实验中遇到的问题及解决方法

• 遇到如下问题

• 解决方法

重新定义了target1和target2，因为Windows7有两个地址，我就都写上去了