2018-2019-2 20165210《网络对抗技术》Exp7 网络欺诈防范

2018-2019-2 20165210《网络对抗技术》Exp7 网络欺诈防范

一、实验目标：本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。

二、实验内容：

1. 简单应用SET工具建立冒名网站
2. ettercap DNS spoof
3. 结合应用两种技术，用DNSspoof引导特定访问到冒名网站。
4. 请勿使用外部网站做实验

三、实验步骤：

1）简单应用SET工具建立冒名网站

使用

sudo vi /etc/apache2/ports.conf

命令修改Apache的端口文件，将端口改为http对应的80号端口

修改后esc键-:wq保存退出

在kali中使用

netstat -tupln |grep 80

命令查看80端口是否被占用。如果有，使用kill+进程号杀死该进程。如下图所示，无其他占用：

开启Apache服务：systemctl start apache2

开启SET工具：setoolkit

选择1：Social-Engineering Attacks（社会工程学攻击）

选择2：Website Attack Vectors（钓鱼网站攻击向量）

选择3：:Credential Harvester Attack Method`（即登录密码截取攻击）

选择2：Site Cloner克隆网站

输入攻击机kali的IP地址：192.168.18.128（我们可使用网址缩短改变网址来迷惑靶机）

输入被克隆的url：https://www.mosoteach.cn/web/index.php?c=passport&m=index

在提示后输入键盘enter，提示“Do you want to attempt to disable Apache?”，选择y

在靶机浏览器地址栏中输入攻击机kali的IP地址访问

在靶机输入（可能是错误的）用户名和密码，攻击机可全部获取

2）ettercap DNS spoof

1. 使用ifconfig eth0 promisc将kali网卡改为混杂模式；
2. 输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改：

mail.qq.com A 192.168.18.128  //IP要换成自己的kali主机IP
www.cnblogs.com A 192.168.18.128

使用ettercap -G开启ettercap：

点击工具栏中的“Sniff”——>“unified sniffing”，在弹出的界面中选择“eth0”——>“ok”，即监听eth0网卡

点击工具栏中的“Hosts”——>“Scan for hosts”扫描子网

点击工具栏中的“Hosts”——>“Hosts list”查看存活主机

点击工具栏中的Plugins—Manage the plugins，双击dns_spoof选择DNS欺骗的插件

点击左上角的Start开始嗅探，此时在靶机中用命令行ping www.cnblogs.com会发现解析的地址是攻击机kali的IP地址

此时在ettercap上也成功捕获到访问记录

3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

首先根据任务一克隆一个网站并跳转

通过实验二实施DNS欺骗，此时在靶机输入网址www.cnblogs.cn可以发现成功访问我们的冒名网站

输入任意用户名和密码后，在kali中也可看到连接的信息和用户名、密码

四、基础问题回答

1. 通常在什么场景下容易受到DNS spoof攻

答：在同一局域网下比较容易受到DNS spoof攻击，攻击者可以冒充域名服务器，来发送伪造的数据包，从而修改目标主机的DNS缓存表，达到DNS欺骗的目的。

1. 在日常生活工作中如何防范以上两攻击方法

答：可以将IP地址和MAC地址进行绑定，很多时候DNS欺骗攻击是以ARP欺骗为开端的，所以将网关的IP地址和MAC地址静态绑定在一起，可以防范ARP欺骗，进而放止DNS spoof攻击。

五、实验中遇到的问题

1. 一开始网端选错了，以为是.1，后来一看是.2。
2. 还有就是这个我以为两台都是net模式，然后怎么做也没做出来，后来才知道xp是桥接模式。

六、实验感悟

本次实验比较容易，实验也让我明白，我们平时应当不去随便点击那些不明来历的网址链接，也不要轻易去连那些公共场合的wifi，因为很有可能就会有DNS欺骗，很有可能让你的信息得到泄露。