Exp7 网络欺诈防范

前期准备

---

一、实验目标与基础知识

1.1 实践目标

• 理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。

1.2 基础知识

SET

• Social-Engineer Toolkit，社会工程学工具包，由TrustedSec的创始人创建和编写，是一个开源的Python驱动工具，旨在围绕社交工程进行渗透测试，已经在包括Blackhat，DerbyCon，Defcon和ShmooCon在内的大型会议上提出过，拥有超过200万的下载量，旨在利用社会工程类型环境下的高级技术攻击。

Ettercap

• 具有嗅探实时连接、内容过滤等功能，支持插件，可以通过添加新的插件来扩展功能；
• 工作原理是将网络接口设置为混杂模式并通过ARP欺骗感染目标设备，由此该设备成为“中间人”并发动对受害者的各类攻击；
• 支持对许多协议(包括加密协议)的主动和被动分离，并具有网络和主机分析方面的多项功能，包含四种操作模式：
  • 基于IP的模式：根据IP源和目的地过滤数据包；
  • 基于MAC的模式：根据MAC地址过滤数据包，该模式能够对嗅探通过网关的连接起到作用；
  • 基于ARP的模式：利用ARP欺骗方式在两个主机之间的交换式局域网(全双工即支持双方同时发送信息)上进行嗅探；
  • 基于公共ARP的模式：利用ARP欺骗方式从一台受害者主机到其它所有主机的交换式局域网(全双工)上进行嗅探。
• 具体功能：
  • 在已建立的连接中注入字符：将字符注入到服务器(模拟命令)或客户端(模拟回复)并同时保持实时连接；
  • SSH1支持：嗅探用户名和密码，甚至是SSH1连接的数据(能够以全双工方式嗅探SSH连接)；
  • HTTPS支持：嗅探HTTP SSL连接上的加密数据——通过Cisco路由器的GRE tunnel对远程流量进行嗅探，并对它进行”中间人攻击”；
  • 插件支持：使用Ettercap的API创建自定义插件；
  • 密码收集：可以收集以下协议的密码信息——TELNET、FTP、POP、IMAP、rlogin、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、Napster、IRC、RIP、BGP、SOCKS 5、IMAP 4、VNC、LDAP、NFS、SNMP、Half-Life、Quake 3MSN、YMSG；
  • 数据包过滤/丢弃：设置一个过滤器，用于在TCP或UDP有效内容中查找特定字符串(或十六进制序列)，并用自定义字符串/序列替换它，或丢弃整个数据包；
  • 操作系统指纹：可以提取受害主机及其网络适配器的操作系统信息；
  • 终止连接：从connections-list(连接列表)中终止所选择的连接；
  • 局域网的被动扫描：检索局域网上的主机信息、开放端口、可用服务的版本号、主机(网关、路由器或简单PC)的类型以及跃点数的预估距离；
  • 劫持DNS请求；
  • 主动或被动地在局域网中找到其它受感染者的功能。

实验步骤

---

一、简单应用SET工具建立冒名网站

SET工具：SET（Social-Engineer Toolkit）是一个高级的，并且易于使用的计算机社会工程学工具集。

• 实验中需要使用http服务，因此需要使用到80端口。在kali中使用 netstat -tupln |grep 80 命令查看80端口是否被占用。如果有，使用 kill+进程号 杀死该进程。

• 使用 vim /etc/apache2/ports.conf 命令修改 Apache 的端口文件，查看端口是否为 80，如果不是修改端口为 80。

 

• 使用apachectl start 开启Apache服务：

• 使用setoolkit 命令开启SET工具：

• 输入1 ：Social-Engineering Attacks选择社会工程学攻击

• 输入2 :Website Attack Vectors即钓鱼网站攻击向量

• 输入3 :Credential Harvester Attack Method即登录密码截取攻击

• 输入2 :Site Cloner进行克隆网站

• 输入攻击机的IP：192.168.0.106 攻击机IP，命令行中已有提示

• 输入被克隆的url：https://www.cnblogs.com/zzh1999/p/12795288.html

• 在提示“Do you want to attempt to disable Apache?”后，输入y

• 在靶机的浏览器中输入攻击机的IP：192.168.0.106，即可看到被克隆的网页

• 为了测试输入用户名和密码的反应，因此换了一个网站：https://www.mosoteach.cn/web/index.php?c=passport&m=index ,kali中也可看到相应反馈。

• 在输入了账号密码后，同时在终端捕获了表单内容

二、ettercap DNS spoof

• 首先使用ifconfig eth0 promisc 将kali网卡改为混杂模式；

• 输入命令vim /etc/ettercap/etter.dns 对DNS缓存表进行修改：添加记录www.cnblogs.com A 192.168.0.106

• 使用ettercap -G开启ettercap,进入后网卡选择eth0并点击√接受：

• 在右上角的三个点中选择“Hosts”——>“Scan for hosts”扫描子网

• 在Hosts list 中查看扫描到的存活主机

• 虚拟机的网关为 192.168.0.1 ，靶机 Windows7 的 IP 为 192.168.0.113 ；将网关的 IP 添加到 target1 ，将靶机 IP 添加到 target2

 

 

• 点击工具栏中的“Plugins”——>“Manage the plugins”

• 选择dns_spoof 即 DNS 欺骗的插件,双击开启

• 此时已经处于嗅探模式，在靶机中执行ping命令结果如下：

• kali端看到反馈信息如下：

三、结合应用两种技术，用DNS spoof引导特定访问到冒名网站

• 综合使用以上两种技术，首先按照任务一的步骤克隆一个登录页面，在通过任务二实施DNS欺骗，实现输入云课班的网站而进入了博客园的网站

  • 按照步骤一，将 kali IP ：192.168.0.106 与博客园主页：www.cnblogs.com 关联
  • 设置 DNS 表：按照步骤二，同理加入 www.mosoteach.cn A 192.168.0.106
  • 打开 ettercap 图形界面，同理步骤二操作至开始嗅探
  • 靶机打开 www.mosoteach.cn ，替换成功

实验总结

---

一、基础问题回答 

(1)通常在什么场景下容易受到DNS spoof攻击？

『通常在公共场所的无线局域网里容易受到 DNS spoof 攻击，很多免费供人们使用的公用 wifi 很多都有钓鱼成分，以小便宜来诱使人们去连接。』

(2)在日常生活工作中如何防范以上两种攻击方法？

『在日常生活工作中访问网站时我们应该确认其是否被篡改过，特别是一些需要我们输入账号密码的登陆型网站，或者说是需要我们支付的网站，以前就听说过假冒的淘宝网站和假冒的 qq 邮箱网站，可以通过查看网站证书的方式来确认；另外，在使用公用网络的时候也需要多加小心，确保其安全性有保障。』

二、实验总结与体会

    本次实验做起来较为简单，没有遇到什么较大的问题，实现了网站的欺骗，挺有趣的实验，在一个局域网下实现网站的欺骗好像是很容易实现的，所以说在今后的学习生活中，需要特别注意公共场所网络的使用，类似大型商场、酒店、宾馆的wifi，加强自己的防范意识，不给伺机而动的偷利者可乘之机。