Exp7 网络欺诈防范
20154305 齐帅
一、实践内容
本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有
(1)简单应用SET工具建立冒名网站
(2)ettercap DNS_spoof
(3)结合应用两种技术,用DNS_spoof、QR_code引导特定访问到冒名网站。
二、实践过程
1.SET工具建立冒名网站
(1)查询80端口的使用情况
没有结果就是最好的结果,说明没有进程占用80.
上图是我打开火狐浏览器之后显示的结果,2234进程在占用,那就杀死它。
(2)修改监听端口配置文件
如下图:
将listen 改为80(我的本来就是80)
(3)然后开启apache2服务
(4)运行SET工具,键入setoolkit
选择y
(5)上图选择1,社会工程学攻击
(6)上图选择2,网页攻击
(7)上图选择3,凭证收割攻击
(8)上图暂时先选择了2,克隆其他网站攻击(其实后面攻击失败了哈~)
此处需要输入kali的ip地址,已经给了提示了,就是说靶机要访问这个地址。
继续之后会让你输入一个URL,就是你想要克隆的网站的地址,我当时输入的是mail.qq.com
,也就是说,别人访问kali的地址会进入QQ邮箱的界面,骗取账号地址。
但是,我失败了,我当时以为是kali的问题,更换了一个kali,并且还用手机热点搭建了一个局域网,注意此处的手机热点给我后面造成了麻烦,后面介绍。
后来查到是因为QQ,百度什么的已经禁止克隆啦~~~时代变了呀!
找到原因后我也懒得找其他网站了,就用了第一个,给了模板的网页攻击,当然3是留给大神自己做一个网页的。
选了1以后会给你提供几个模板,我选择了谷歌的模板,当然没有FQ正常是不能访问谷歌的,有点傻。。。
(9)然后在靶机上输入kali的IP地址,就会进入谷歌的登录界面啦~!(注意此处是需要输入IP地址的)
如上图输入一个账号密码点击登录,就会收到下面一个界面,当然如果谷歌没有被屏蔽的话会进入正常的界面的
然后在kali端就会接受到靶机输入的账号密码啦~是不是很神奇,其实也很危险呀,钓鱼网站就是这样?
注意上图我输入的账户和我得到的账户是不一样的,那是在得到正确答案之前我失败了好多次,只截图了一个最后结果,但是效果是类似的啦~!
总结:其实此时只要有点常识的就不会傻傻的访问一个裸着的IP地址的,而且还能访问谷歌,明显有问题,那么下面的我们就对这个钓鱼网站进行一下改装,我用了两种方法~
2.DNS欺骗与SET结合
(1)键入如下指令,将网卡设为混杂模式,可以得到局域网的所有信息,为后面的主机探索做准备
(2)然后用leafpad /etc/ettercap/etter.dns
修改用来欺骗的DNS缓存表,加入下面两项内容:
(3)键入ettercap -G
,进入Ettercap的图形界面,按照图示选择
(4)此时会选择网卡,就默认的就可以啦!
(5)选择扫面主机,扫描完毕后点击主机列表
(6)如下图选择 dns_spoof 攻击模块
(7)在主机列表将网关地址添加到Target2,靶机IP地址添加到Target1,此处最好将kali网络连接改成桥连模式哦,我的经验~~
(8)一切设置好以后左上角Start开始嗅探,进行DNS欺骗,等待靶机上钩
此处补充一下,在此处我遇到了好多问题,主要是欺骗不成功,靶机访问谷歌的网址总是会显示连接失败,ping谷歌的域名显示的是ping真正的IP,其实就是欺骗失败了,期间我还更换了靶机,换了一台IOS系统的,所以后边的IP会变化,不过都无济于事,最后找到了原因,是因为我的手机热点的问题,可能是因为欺骗不了手机这个网关吧·我连了寝室的wifi,同样的操作之后就成功了!!!就会得到下面的提示了,说明欺骗成功了
(9)靶机输入www.google.com,就会被欺骗到kali的主机地址啦~又是熟悉的界面熟悉的操作啦,注意此处不会显示IP而是会显示谷歌的登录地址哦,这样的伪装是不是很cool~
如下图,靶机输入账号密码后就会在kali得到账号和密码啦~!
3.二维码和SET结合攻击
在此处选择攻击方法的时候看到了一个二维码攻击,很感兴趣就试了一下
(1)选择8之后会让你输入任意一个URL,他会生成一个二维码,此处当然不能任意输入啦,需要输入我们之前做好的欺骗地址,就是kali主机地址。
(2)enter之后会生成一个二维码,此时我们将它拷贝到根目录下面,如下
(3)在根目录找到二维码图片并打开
(4)最后用你的“才干”,欺骗别人扫你的二维码并且让他输入账号密码,你就成功拿到啦~
下图是我用自己的手机扫描二维码得到的登录界面,真的很逼真,如果不是我的手机没有FQ我就信了
(5)如上 QR code欺骗成功!
三、基础问题回答
(1)通常在什么场景下容易受到DNS spoof攻击
同一局域网下,公共的热点容易受到DNS spoof攻击,欺骗一下网关很容易的呀,随便弄一个微博、百度云啥的就等着账号被盗吧;当然不在同一个局域网下也可以被攻击,需要收集到公网地址啥的呗
(2)在日常生活工作中如何防范以上两攻击方法
这种攻击就是趁我们不仔细不注意的时候进行攻击的,需要我们提高安全意识,注意网页的IP地址是不是真的,其实很难!!还有一种是通过IP访问,但我觉得很不现实。DNS就是为了方便记忆呀。
可以通过https来解决问题的,https协议所要解决的就是服务器认证的问题,要防御的就是有这样的钓鱼网站向用户欺瞒真实身份,所以现在绝大多数具有POST功能的网站都采用了https协议,当我们访问这样的网站时,如果不能提供正确的数字证书,不能完成ssl握手协议,那该网站肯定不可信,这一点在实际生活中应该还是容易实现的。
四、实验感想
实话讲,这次的DNS欺骗感觉在寝室的局域网很好用呀,条件都能满足,而且路由器自己可以随便上,骗一骗猪头室友很轻松的,不过娱乐归娱乐,安全隐患还是很明显的,我们在生活中也会经常这样的欺骗攻击,只要稍微不注意,就是上当受骗,钓鱼邮件有很多。这次实验让我知道钓别人的鱼是多么简单,更警醒了我自己注意这方便的威胁,其实现在的社会隐私本来就不剩多少啦,如果唯一的一些关系自己切身利益的东西再损失了那真的人生惨淡~~~
原文地址:https://www.cnblogs.com/qsss/p/8993304.html
时间: 2024-10-05 05:01:10