Exp7 网络欺诈防范
前期准备
一、实验目标与基础知识
1.1 实践目标
- 理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
1.2 基础知识
SET
- Social-Engineer Toolkit,社会工程学工具包,由TrustedSec的创始人创建和编写,是一个开源的Python驱动工具,旨在围绕社交工程进行渗透测试,已经在包括Blackhat,DerbyCon,Defcon和ShmooCon在内的大型会议上提出过,拥有超过200万的下载量,旨在利用社会工程类型环境下的高级技术攻击。
Ettercap
- 具有嗅探实时连接、内容过滤等功能,支持插件,可以通过添加新的插件来扩展功能;
- 工作原理是将网络接口设置为混杂模式并通过ARP欺骗感染目标设备,由此该设备成为“中间人”并发动对受害者的各类攻击;
- 支持对许多协议(包括加密协议)的主动和被动分离,并具有网络和主机分析方面的多项功能,包含四种操作模式:
- 基于IP的模式:根据IP源和目的地过滤数据包;
- 基于MAC的模式:根据MAC地址过滤数据包,该模式能够对嗅探通过网关的连接起到作用;
- 基于ARP的模式:利用ARP欺骗方式在两个主机之间的交换式局域网(全双工即支持双方同时发送信息)上进行嗅探;
- 基于公共ARP的模式:利用ARP欺骗方式从一台受害者主机到其它所有主机的交换式局域网(全双工)上进行嗅探。
- 具体功能:
- 在已建立的连接中注入字符:将字符注入到服务器(模拟命令)或客户端(模拟回复)并同时保持实时连接;
- SSH1支持:嗅探用户名和密码,甚至是SSH1连接的数据(能够以全双工方式嗅探SSH连接);
- HTTPS支持:嗅探HTTP SSL连接上的加密数据——通过Cisco路由器的GRE tunnel对远程流量进行嗅探,并对它进行”中间人攻击”;
- 插件支持:使用Ettercap的API创建自定义插件;
- 密码收集:可以收集以下协议的密码信息——TELNET、FTP、POP、IMAP、rlogin、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、Napster、IRC、RIP、BGP、SOCKS 5、IMAP 4、VNC、LDAP、NFS、SNMP、Half-Life、Quake 3MSN、YMSG;
- 数据包过滤/丢弃:设置一个过滤器,用于在TCP或UDP有效内容中查找特定字符串(或十六进制序列),并用自定义字符串/序列替换它,或丢弃整个数据包;
- 操作系统指纹:可以提取受害主机及其网络适配器的操作系统信息;
- 终止连接:从connections-list(连接列表)中终止所选择的连接;
- 局域网的被动扫描:检索局域网上的主机信息、开放端口、可用服务的版本号、主机(网关、路由器或简单PC)的类型以及跃点数的预估距离;
- 劫持DNS请求;
- 主动或被动地在局域网中找到其它受感染者的功能。
实验步骤
一、简单应用SET工具建立冒名网站
SET工具:SET(Social-Engineer Toolkit)是一个高级的,并且易于使用的计算机社会工程学工具集。
-
实验中需要使用http服务,因此需要使用到80端口。在kali中使用
netstat -tupln |grep 80
命令查看80端口是否被占用。如果有,使用kill+进程号
杀死该进程。
- 使用
vim /etc/apache2/ports.conf
命令修改 Apache 的端口文件,查看端口是否为 80,如果不是修改端口为 80。
- 使用
apachectl start
开启Apache服务:
- 使用
setoolkit
命令开启SET工具:
- 输入
1
:Social-Engineering Attacks选择社会工程学攻击
- 输入
2
:Website Attack Vectors即钓鱼网站攻击向量
- 输入
3
:Credential Harvester Attack Method即登录密码截取攻击
- 输入
2
:Site Cloner进行克隆网站
- 输入攻击机的IP:
192.168.0.106
攻击机IP,命令行中已有提示
- 输入被克隆的url:https://www.cnblogs.com/zzh1999/p/12795288.html
- 在提示“Do you want to attempt to disable Apache?”后,输入
y
- 在靶机的浏览器中输入攻击机的IP:192.168.0.106,即可看到被克隆的网页
- 为了测试输入用户名和密码的反应,因此换了一个网站:https://www.mosoteach.cn/web/index.php?c=passport&m=index ,kali中也可看到相应反馈。
- 在输入了账号密码后,同时在终端捕获了表单内容
二、ettercap DNS spoof
- 首先使用
ifconfig eth0 promisc
将kali网卡改为混杂模式;
- 输入命令
vim /etc/ettercap/etter.dns
对DNS缓存表进行修改:添加记录www.cnblogs.com A 192.168.0.106
-
使用ettercap -G开启ettercap,进入后网卡选择eth0并点击√接受:
- 在右上角的三个点中选择“Hosts”——>“Scan for hosts”扫描子网
-
在
Hosts list
中查看扫描到的存活主机
- 虚拟机的网关为
192.168.0.1
,靶机 Windows7 的 IP 为192.168.0.113
;将网关的 IP 添加到 target1 ,将靶机 IP 添加到 target2
-
点击工具栏中的“Plugins”——>“Manage the plugins”
-
选择
dns_spoof
即 DNS 欺骗的插件,双击开启
-
此时已经处于嗅探模式,在靶机中执行ping命令结果如下:
-
kali端看到反馈信息如下:
三、结合应用两种技术,用DNS spoof引导特定访问到冒名网站
-
综合使用以上两种技术,首先按照任务一的步骤克隆一个登录页面,在通过任务二实施DNS欺骗,实现输入云课班的网站而进入了博客园的网站
- 按照步骤一,将 kali IP :192.168.0.106 与博客园主页:www.cnblogs.com 关联
- 设置 DNS 表:按照步骤二,同理加入 www.mosoteach.cn A 192.168.0.106
- 打开 ettercap 图形界面,同理步骤二操作至开始嗅探
- 靶机打开 www.mosoteach.cn ,替换成功
实验总结
一、基础问题回答
(1)通常在什么场景下容易受到DNS spoof攻击?
『通常在公共场所的无线局域网里容易受到 DNS spoof 攻击,很多免费供人们使用的公用 wifi 很多都有钓鱼成分,以小便宜来诱使人们去连接。』
(2)在日常生活工作中如何防范以上两种攻击方法?
『在日常生活工作中访问网站时我们应该确认其是否被篡改过,特别是一些需要我们输入账号密码的登陆型网站,或者说是需要我们支付的网站,以前就听说过假冒的淘宝网站和假冒的 qq 邮箱网站,可以通过查看网站证书的方式来确认;另外,在使用公用网络的时候也需要多加小心,确保其安全性有保障。』
二、实验总结与体会
本次实验做起来较为简单,没有遇到什么较大的问题,实现了网站的欺骗,挺有趣的实验,在一个局域网下实现网站的欺骗好像是很容易实现的,所以说在今后的学习生活中,需要特别注意公共场所网络的使用,类似大型商场、酒店、宾馆的wifi,加强自己的防范意识,不给伺机而动的偷利者可乘之机。