目录
- 2018-2019 20165208 网络对抗 Exp7 网络欺诈防范
- 实验内容
- 基础问题回答
- 实践过程记录
- 1. 简单应用SET工具建立冒名网站
- 2. ettercap DNS spoof
- 3. 结合应用两种技术,用DNS spoof引导特定访问到冒名网站
- 实验感想
2018-2019 20165208 网络对抗 Exp7 网络欺诈防范
实验内容
本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有
(1)简单应用SET工具建立冒名网站 (1分)
(2)ettercap DNS spoof (1分)
(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。(1.5分)
(4)请勿使用外部网站做实验
(5)报告(1分)
基础问题回答
(1)通常在什么场景下容易受到DNS spoof攻击
- 公共wifi环境。
- 从这个实验出发,靶机需要被攻击机扫描,并被设置为目标,所以这要求攻击机和靶机在同一个自网内。
(2)在日常生活工作中如何防范以上两攻击方法
- 登录网站时确定页面无误的情况下也要多留意网址,现在大多数为https,拥有网站证书,可以检查是否来自可信ca颁发的。
- 在安全性难以得到保障的情况下,不随意连公共wifi。
实践过程记录
1. 简单应用SET工具建立冒名网站
- 使用
sudo vi /etc/apache2/ports.conf
命令修改Apache的端口文件,将端口改为http对应的80号端口
- 使用
netstat -tupln |grep 80
查看80端口是否被占用(若存在被占用的情况kill 编号杀死进程)
- 使用
apachectl start
开启Apache服务 - 使用
setoolkit
打开SET工具,开启后有如下选项: - 选择1:Social-Engineering Attacks即社会工程学攻击
- 选择2:Website Attack Vectors即钓鱼网站攻击向量
- 选择3:Credential Harvester Attack Method即登录密码截取攻击
- 选择2:Site Cloner进行克隆网站
- 输入攻击机IP:192.168.1.118,即攻击机Kali的IP
- 输入被克隆的url:这里我首先选的是博客园个人主页https://www.cnblogs.com/KY-high/但可能是需要登录的原因,不能直接进行跳转。
- 输入被克隆的url:https://www.cnblogs.com/KY-high/p/10765357.html
- 提示“Do you want to attempt to disable Apache?”,选择y
- 在靶机上(这里用的是实际主机,但不知道为什么后来就不能跳转了,步骤三也就使用虚拟机做的)输入攻击机IP:192.168.1.118,按下回车后跳转到被克隆的网页:
- 攻击机上可以看到如下提示:
[补充]:为了进一步伪装攻击机IP,我们可以利用网址缩短网站,将攻击机IP输入,然后生成一个网址,如“http://short.php5developer.com/d2X”。这样靶机访问该网址时和直接输入IP的效果是一样的。
2. ettercap DNS spoof
- 使用
ifconfig eth0 promisc
将kali网卡改为混杂模式;
- 输入命令
vi /etc/ettercap/etter.dns
对DNS缓存表进行修改:
添加的两条记录是:
www.mosoteach.cn A 192.168.1.118 #IP要换成自己的kali主机IP
www.cnblogs.com A 192.168.1.118
- 使用
ettercap -G
开启ettercap: - 点击工具栏中的“Sniff”——>“unified sniffing”
- 在弹出的界面中选择“eth0”——>“ok”,即监听eth0网卡
- 点击工具栏中的“Hosts”——>“Scan for hosts”扫描子网
- 点击工具栏中的“Hosts”——>“Hosts list”查看存活主机
- 将kali网关的IP:192.168.1.1添加到target1,靶机IP:192.168.1.107添加到target2:
- 选择工具栏Mitm—>Arp poisoning,勾选Sniff remote connections.(嗅探并保持原连接状态),确定
- 在靶机中输入arp -a发现已经被arp欺骗成功(欺骗靶机192.168.1.107,让它误以为Kali攻击机192.168.1.118是网关192.168.1.1)
- 选择工具栏View->Connections查看和被监听靶机之间的所有连接信息:
- 点击工具栏中的“Plugins”——>“Manage the plugins”
- 双击选择“dns_spoof”即DNS欺骗的插件
- 然后点击左上角的“start”——>“Start sniffing”选项开始嗅探
- 靶机上输入ping www.mosoteach.cn或ping www.cnblogs.com,可以在Kali端看到反馈信息:
[疑问]:我也不知道为什么ping www.mosoteach.cn的时候,返回信息的IP不是kali 的IP,而ping www.cnblogs.com的时候放回的IP就转换成了kali的IP(后来尝试每次设定都修改DNS缓存表,加个空格删个空格,就没再遇到这个问题了)
3. 结合应用两种技术,用DNS spoof引导特定访问到冒名网站
- 建立冒名网站的步骤同2.1的相同,克隆的网站输入mosoteach.cn(蓝墨云)完成第一步。
- 设置DNS spoof的步骤同2.2的相同。
- 虚拟机Win7中输入ping www.cnblogs.com返回的数据中显示的是攻击者kali的IP,访问www.cnblogs.com时跳转到之前克隆的蓝墨云网站界面。
- 本来第三部分也是在本机上做的,以QQ邮箱做了尝试,但不知道是那里的问题,攻击机kal的ip地址和QQ邮箱页面像是绑定了一样,但是输入kail机IP地址却显示页面无法访问,尝试修改三四次,最后还是不行就选择了用虚拟机win7进行了操作。
实验感想
通过本次实验,我学会了如何利用工具克隆网页,制作一个钓鱼网站,如何将自己的IP伪装。本以为会很复杂的克隆,实际上却只需要一行命令,同时也深深意识到了以往说连公共wifi不可靠的含义。同时,对于以后的防范方法也有了一定的了解,受益颇多。
原文地址:https://www.cnblogs.com/KY-high/p/10799797.html
时间: 2024-11-07 17:54:25