2018-2019-2 20165234 《网络对抗技术》 Exp7 网络欺诈防范

Exp7  网络欺诈防范

实验内容

1. 简单应用SET工具建立冒名网站

2. ettercap DNS spoof

3. 结合应用两种技术，用DNS spoof引导特定访问到冒名网站

4. 请勿使用外部网站做实验

基础问题

1. 通常在什么场景下容易受到DNS spoof攻击。

• 在同一局域网下，攻击者可以冒充域名服务器，来发送伪造的数据包，从而修改目标主机的DNS缓存表，达到DNS欺骗的目的。

• 连接公共场合的wifi，攻击者可以很容易地进行攻击。

2. 在日常生活工作中如何防范以上两攻击方法。

• 很多时候DNS欺骗攻击是以ARP欺骗为开端的，所以将网关的IP地址和MAC地址静态绑定在一起，可以防范ARP欺骗，进而放止DNS spoof攻击；

• 对于冒名网站，要做到不随便点来路不明的链接，或者在点之前可以先观察一下域名，查看其是否存在异常。

• 在使用公共的尤其是免费wifi时，尽量不要输入用户名、密码等个人信息。

实验步骤

（一）简单应用SET工具建立冒名网站

• 要让冒名网站在别的主机上也能看到，需要开启本机的Apache服务，在kali中使用 sudo vi /etc/apache2/ports.conf 命令修改Apache的端口文件，将端口改为  。

• 使用netstat -tupln |grep 指令查看80端口是否被占用，如果有其他服务在运行的话，用kill+进程ID杀死该进程。我的80端口未被占用。

• 使用apachectl start 命令开启Apache服务

• 输入 setoolkit 打开SET工具：

• 选择  进行社会工程学攻击：

• 接着选择即钓鱼网站攻击向量：

• 接着选择  即登录密码截取攻击：

• 接着选择  进行克隆网站：

• 输入攻击机的IP地址，也就是kali的IP地址： 192.168.10.138

• 按照提示输入要克隆的url mail.qq.com 之后，用户登录密码截取网页已经在攻击机的80端口上准备就绪，就等别人上钩了（这里写的网址不加www）

• 为了能够更好的迷惑别人，我们不能直接将IP地址发给对方，需要对其进行一定的伪装，可以找一个短网址生成器，将我们的IP地址变成一串短网址：

• 将得到的伪装地址在主机Win10的360浏览器中打开，会出现QQ邮箱的登录页面：

（二）ettercap DNS spoof

• 输入ifconfig eth0 promisc将kali改为混杂模式

• 输入vi /etc/ettercap/etter.dns对DNS缓存表进行修改，我添加了一条对博客园网站的DNS记录

• IP换成攻击者的主机IP192.168.10.138

• 输入 ettercap -G 开启 ettercap，选择 Sniff -> unified sniffing  ，在弹出的界面中选择  eth0 -> ok ，监听eth0网卡

• 在工具栏中选择 Hosts -> Scan for hosts 扫描子网，再选择 Hosts -> Hosts list 查看存活主机

• 将攻击者的IP 192.168.10.1 （kali的网关）添加到target1，靶机IP 192.168.10.137 （Win7）添加到target2

• 选择  Plugins -> Manage the plugins -> dns_spoof  (DNS欺骗的插件) -> 双击

• 选择 start -> Start sniffing 开始嗅探

• 此时在靶机Win7中输入ping www.cnblogs.com会发现，解析的地址是kali的IP地址

（三）结合应用两种技术，用DNS spoof引导特定访问到冒名网站

1.按照任务一的步骤克隆一个登录页面，在主机Win10浏览器中输入kali的IP，跳转成功（事实上多数浏览器都可以成功跳转）

2.按照任务二的步骤实施DNS欺骗，在靶机Win7的浏览器中输入在DNS缓存表中添加的一个网址

• 在靶机kali中输入 ping www.cnblogs.com 返回的数据中显示的是攻击者kali的IP，访问 www.cnblogs.com 时跳转到之前克隆的登录界面

• 成功访问冒名网站，可以输入用户名和密码。

• kali端可全部获取

实验中遇到的问题

问题一：在任务二中，配置target时，找错kali的网关ip，解决办法如下：

1. 在终端输入 netstat -rn 或 route -n ，IP地址为0.0.0.0后的gatway 即为默认网关

2. 通过 ifconfig 查看IP

问题二：有的网址是不可以克隆的，比如 www.mail.163.com，如下图所示。由此可见网易的安全性还是较高的。

实验总结

• 这次实验较为简单，但是还是很有意思的。我最大的感想就是，钓鱼网站获取我们登录信息其实是很容易就能实现的。我们平时一定要提高警惕性，对于一些陌生的链接不要去轻易点开。

• 我们应当警惕公共场合的免费WiFi，很有可能它就是钓鱼WiFi，它可以监听我们传出的所有数据包，甚至轻易窃取我们的账户密码。所以我们一定要提高自己的安全意识。