2017-2018-2 20155315《网络对抗技术》Exp7 ：网络欺诈防范

实验目的

本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。

实验内容

• 简单应用SET工具建立冒名网站
• ettercap DNS spoof
• 结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

实验步骤

（一）应用SET工具建立冒名网站

• 生成的钓鱼网站如果使用https服务无法验证证书，因此钓鱼网站要使用http服务，则要 sudo vi /etc/apache2/ports.conf将Apache的端口改为80
• 修改端口后使用apachectl start启动Apache服务
• 若提示端口信息，使用netstat -tupln | grep 80查看80端口占用情况，并使用kill 进程ID杀死进程后再打开Apache服务
• 使用setoolkit打开SET工具
• 选择参数：
  1 > Social-Engineering Attacks //社会学攻击 2 > Website Attack Vectors //网站攻击向量 3 > Credential Harvester Attack Method //攻击方法是截取密码 2 > Site Cloner //进行网站克隆
• 输入kali的IP地址和要克隆的网址，也就是说，只要靶机访问kali的IP地址时，其实打开的就是一个和克隆网站界面一样的钓鱼网站，这样当用户登录时，我们就可以截取到用户的用户名和密码了
• 使用Url Shortener可以将kali的IP地址伪装成另一个链接
• 也可以使用渗透测试中的域名伪装这篇博客提到的方法进行伪装
• 靶机访问经过伪装之后的网址，kali显示连接信息
• 然后靶机毫无防备地输入用户名和密码，kali也就默默地截取了，信息就这么暴露了。
• 值得一提的是，尝试了常用的几个网站如邮箱、微博、博客园等，有的网页会显示乱码而有的只能显示连接信息却无法获取用户输入的信息，
  可能是因为原网站使用的是https服务，而钓鱼网站无法提供证书因而用户无法认证，不过也好，这样比较安全。

（二）ettercap DNS spoof

• 既然靶机直接访问kali的IP地址第一个实验就能成功，那是不是可以通过修改DNS文件将kali的IP地址与我们想要伪装的网站关联起来呢
• 输入vi /etc/ettercap/etter.dns对DNS缓存表进行修改，先做个测试，将淘宝的域名与kali的IP相关联
• 希望能监听整个局域网络的数据包，使用ifconfig eth0 promisc将网卡改为混杂模式
• 输入ettercap -G打开ettercap，会弹出一个图形化界面
• 点击工具栏中的sniff -> unified sniffing，在弹出的界面中选择eth0完成设置
• 点击工具栏中的Hosts -> Scan for hosts，等待扫描完成后点击Hosts -> Hosts list查看
• 可以看到有四台存活主机，将kali的网关地址设置为TARGET1，将靶机的IP地址设置为TARGET2，设置成功后可以在控制台看到结果
• 点击工具栏中的Plugins -> Manage the plugins，双击dns_spoof选中，可在控制台看到结果
• 点击工具栏中的Start -> start sniffing，开始嗅探
• 看看效果如何：靶机用命令行ping www.taobao.com，可以看到连接到的IP地址就是kali的IP地址，控制台也能看到一个到kali的IP地址的连接。
  
• 至此，测试完成，我们不需要将IP地址进行伪装就可以实现攻击了。

（三）应用两种技术，用DNS spoof引导特定访问到冒名网站

• 将第一个实验中的原网址与kali的IP地址进行关联
• 设置ettercap直至开始嗅探
• 靶机打开原网站，ettercap的控制台显示连接信息
• SET显示连接信息并能截取用户名与密码

实验问题回答

• 通常在什么场景下容易受到DNS spoof攻击
  • 当攻击机与靶机位于同一局域网的时候容易受到DNS spoof攻击
  • 对于公开的热点或者是看起来像私人的热点却又不需要密码的WiFi都要格外小心，不要轻易输入自己的私密信息。
• 在日常生活工作中如何防范以上两攻击方法
  • 就第一种攻击而言，钓鱼网站的域名与真网站可能只相差一个字母或一个符号，在访问网站的过程中应仔细查看，避免上当
  • 对于不知道是否安全的热点或WiFi，连接后不要输入自己的个人信息或密码
  • 这次实验对于使用https服务的网站几乎都成功不了，所以浏览网页的时候最好关注一下是否使用的是https服务，如果不是的话最好不要输入自己的私密信息

实验总结

前段时间刚看到“假德邦”的事件，还在想是如何做到的，这次实验就让我体验了一把。过程总体来说是比较简单的，居然输入命令就可以直接克隆一个网站也是很神奇了。单单使用一个冒名网站进行攻击在实际生活中的成功率比较低，但如果加上DNS spoof攻击成功率就大大提升了，因为靶机根本不知道自己到底访问的是哪个IP地址，想想还是很可怕的。所以说，对于那些公开的可疑WiFi还是别轻易连接了，不要报以侥幸心理，毕竟网络还是没有我们想象的那么安全，自己在上网的时候多注意点，被攻击的几率也就会小一点。

参考资料

• 渗透测试中的域名伪装