一、实验概述
1.1 实验目标与要求
本实验的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
仅可以使用内部网络做实验。
1.2 实验原理
本实验旨在运用钓鱼网站技术,结合DNS欺骗攻击实施网络欺诈行为。
DNS欺骗,是指篡改DNS应答报文并诱导用户访问钓鱼页面。当客户端向DNS服务器查询域名时,本地DNS服务器首先在本地缓存中进行查找,然后再本地数据库进行查询,如果没有匹配信息则向根服务器或指定的DNS服务器进行迭代查询,每台服务器都重复类似的动作,当在某台服务器的数据库中查找到对应信息后,查询路径中的所有服务器都会在自己的缓存中保存一份复制,然后返回给路径中的下一个服务器。攻击者根据DNS的工作原理,通过拦截和修改DNS的请求和应答包进行定向DNS欺骗,即只有目标主机查询特定域名时,才修改返回的DNS应答为虚假IP,其他情况还是返回真实的DNS应答。所以说,当主机访问特定域名时,其实访问的是攻击者指定的IP地址,这就实现了DNS欺骗。
DNS欺骗的手段主要有:
- 缓存感染:直接攻击DNS服务器,将虚假的映射写入到服务器的缓存或数据库中。
- DNS信息劫持:截获并修改DNS主机A记录、MX记录和CNAME记录应答报文。
- DNS重定向:截获并修改DNS的NS记录应答报文,返回虚假的DNS服务器地址。
- Hosts劫持:修改目标主机的hosts文件,写入虚假的主机-IP映射。
缓存感染和Hosts劫持需要实现对目标主机或服务器的远程入侵 常用的DNS欺骗方法主要是DNS信息劫持和重定向 常用工具 Cain&Abel、dnschef和Ettercap。
Etteracp是本实验用到的发起欺诈的工具,它是一款在MITM攻击也就是中间人攻击中广泛使用的工具,通常只在Linux/UNIX平台下运行,它具有强大的嗅探功能,提供了许多中间人攻击插件,包括我们用到的DNS欺骗。
二、实验内容
2.1 简单应用SET工具建立冒名网站
Step1:Apache监听端口确认
Step2:开启Apache服务器:apachectl start
。若不能成功开启,可能和端口被占用有关,可以查看占用监听端口的进程的进程号然后将其结束。
Step3:使用SET工具克隆网站
Step4:局域网内其他终端访问kali的网络地址
2.2 ettercap DNS spoof
Step1:使用ifconfig eth0 promisc
将网卡改为混杂模式。
Step2:编辑DNS映射文件,输入vim /etc/ettercap/etter.dns
打开编辑界面,添加A记录:
baidu.com A 192.168.73.137
*.baidu.com A 192.168.73.137
Step3:开启ettercap工具
回到kali终端,输入指令ettercap -G
开启ettercap,自动弹出一个可视化界面
在win7靶机中输入ipconfig
靶机的网关IP:192.168.73.2
靶机的IP:192.168.73.134
分别将靶机的网关IP和靶机的IP加入target1和target2
选择“最小化”左边的那个符号,按上图依次选择,最终选中“dns_spoof”,激活DNS欺骗插件
此时在靶机上ping目标网站www.baidu.com,可以看到红框所示的网络地址已经变成了kali的网络地址,欺骗成功
欺骗成功的同时查看kali的ettercap工具,可以看到红框所示部分是欺骗记录,目标网站被引导到了一个私有地址也就是我局域网中的kali的网络地址
2.3 结合应用两种技术,用DNS spoof引导特定访问到冒名网站
首先确定要怎么冒名,我的思路是让靶机在浏览器地址栏中输入电科院邮箱网站首页地址:mail.besti.edu.cn,结果访问到的并不是真正的电科院邮箱网站,而是一个冒名的网站。前面的实验步骤也做过类似的操作,做成了钓鱼网站的形式,看到的界面和想要访问的界面在外观上看是一致的。那么在这里则是更进一步,看到的界面和想要访问的界面在外观上看是不一致的,也就是说有一个冒名网站乙,它假冒了我们想要访问的网站甲,当我们想要访问甲的时候,却被欺骗访问到了乙,这样的结果就是用户不仅没有访问到想要访问的网站也就是甲,并且还访问到了假冒+钓鱼网站乙。
Step1:重复2.1,克隆一个网站首页,这里说的这个克隆网站是上文提到的乙。我选择克隆的假冒网站是京东官网,使得局域网内主机访问kali的IP地址时能够访问到一个克隆的、假冒的京东官网www.jd.com。
Step2:重复2.2,这里在添加DNS映射记录时,要添加的是mail.besti.edu.cn A 192.168.1.111。这样做的效果是,当局域网内主机访问电科院邮箱网站登录界面时,会被欺骗到kali的IP地址去,而这个地址呈现出来的就是在Step1中克隆的那个钓鱼网站。效果就是访问电科院邮箱网站结果被引到了京东官网。
Step3:有了Step1和2的操作,在靶机*问电科院邮箱登录页面:mail.besti.edu.cn时,可以观察到下面的访问效果:
可以看到地址栏要访问的是电科院邮箱网站,结果被一个冒名网站取代了,图中呈现的是京东官网
三、实验总结
3.1 基础问题回答
(1)通常在什么场景下容易受到DNS spoof攻击
本实验的场景是局域网,因此DNS spoof的攻击者经常选择局域网的环境。比如公共场合的WiFi中,非常容易受到DNS spoof的攻击。
(2)在日常生活工作中如何防范以上两攻击方法
防范以上两种攻击的方式也很简单,加强信息安全意识,养成良好的生活习惯:
- 公共场合不连接陌生WIFI,局域网的环境很容易被攻击。
- 在网络访问中不轻易点击陌生的链接网页,不轻易录入自己的个人信息。就像我们克隆的网页一样,网页非常的相似,如果不仔细看的话根本分不清真假,在这样的网页里输入信息,很轻易地就会造成信息泄露。
- 使用先进的杀软。DNS欺骗攻击不容易被发现,即便学习了网络攻防的专业知识,也很难保证不被欺骗和攻击,攻击的技术和方法也非常多样,因此最为简单的方式是安装先进的杀软,由杀软厂商帮助解决。
3.2 实验体会
本次实验我学习了网络欺诈防范,从建立假冒网站和DNS spoof到两种方法结合,完成特定访问到冒名网站,这些攻击手段让我拓展了视野,对于网络攻击者的方式和套路有了基本的认识和理解,一个普通的网站,通过克隆技术可以做到非常的规范和完整,再借助一些技术完善细节,可以完美的克隆一个网站,对于我在未来工作中防范网络攻击有很大帮助,网络攻击是一个很广泛的知识面,我们必须不断学习,弄懂攻击技术的原理,由原理可以更加针对性的防范网络攻击,这也是我未来学习的重点。