20155318 《网络攻防》 Exp7 网络欺诈防范
基础问题
- 通常在什么场景下容易受到DNS spoof攻击
- DNS spoof攻击即执行DNS欺骗攻击,通过使用Ettercap来进行ARP欺骗,是一种中间人攻击,连接公用网的时候容易受到
- 在日常生活工作中如何防范以下两攻击方法
- 尽量不连公共场合的wifi,连接时避免进行登录操作。不要点开未知链接,防止进入钓鱼网站。使用入侵监测系统,系统要及时打补丁。
实验步骤
简单应用SET工具建立冒名网站
- 钓鱼网站在本机的http服务下使用,因此需要将SET工具的访问端口改为http默认的80端口
- 使用命令sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件
- 使用命令netstat -tupln |grep 80命令查看80端口是否被占用,占用的话用kill杀死
- 使用命令apachectl start开启Apache服务
- (打开新的终端)输入setoolkit打开SET工具
- 依次选择1(进行社会工程学攻击) -> 2(钓鱼网站攻击向量)-> 3(登录密码截取攻击)-> 2(克隆网站)
- 输入kali的IP地址(192.168.153.128)和被克隆的网址
- 在靶机上输入kali机IP,kali机上就可以捕捉到相关信息,如下图所示:
ettercap DNS spoof
- 首先用ifconfig eth0 promisc指令把kali变成混杂模式
- 使用命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改,添加网站和IP的DNS记录(IP地址填kali机的IP地址)
- 使用命令ettercap -G启动ettercap
- 工具栏中的Sniff——>unified sniffing,后在弹出的界面中选择eth0->ok监听eth0网卡
- 在工具栏中的Hosts下先点击Scan for hosts扫描子网
- 点击Hosts list查看存活主机,将靶机网关的IP添加到target1,靶机IP添加到target2
- 靶机的ip和网关查询
- 配置好后在工具栏点击mitm>arp poisoning,选择第一个勾上并确定
- 选择Plugins—>Manage the plugins,选择dns_spoof(双击!!确保选上dns)
- 然后点击左上角的start选项开始嗅探,对比嗅探前后的结果
- 开启嗅探之前耙机ping博客园的结果(ip为101.37.225.65)
- 开启后(ip为kali)
- 在ettercap里可看到的访问记录(pin*生)
结合应用两种技术,用DNS spoof引导特定访问到冒名网站
- 思路:先克隆一个登录页面,再实施DNS欺骗。
- 注意:不要关闭apache2
- 增加过程记录:
- 选择了安全性较低的内网,添加至DNS缓存表
- 在靶机*问钓鱼网站(通过www.cnblogs.com域名访问克隆的登录界面)
- 靶机上的操作被记录下来
- 显示记录密码的文件存放位置
实验总结
这次实验让我感触较深的是记录登陆网站的用户名和密码并且保存在攻击机本地这一功能,在进行第三个实验时,原本以为只需要将前两个实验完全照做一遍,但是其实质是通过域名www.cnblogs.com访问192.168.153.128(克隆的校网)。这也警醒我们平时特别是使用公共wifi时,避免进行登录、支付等操作,一旦我们的账号和密码被黑客获取,将导致不可估量的后果。