《网络对抗技术》Exp7 网络欺诈防范

实验步骤

一、简单应用SET工具建立冒名网站

1、打开set工具

• 使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件，将端口改为http对应的80号端口
  

注意这里的意思是只要最上面那个端口是80即可，不动其他部分，一般默认打开后都是80不用改文件，如果不是再改

• 使用apachectl start开启Apache服务
  

• 使用setoolkit打开SET工具

• 选择1：Social-Engineering Attacks即社会工程学攻击
  

• 选择2: Website Attack Vectors即钓鱼网站攻击向量
  

• 选择3: Credential Harvester Attack Method即登录密码截取攻击
  

• 选择2:Site Cloner进行克隆网站
  

2、攻击设置

• 输入攻击机IP，即你的Kali的IP
• 输入被克隆的url，即能够让你成功完成下一步的包含登录内容网址
  

这里完成后根据网站选择不同可能会提示一个选项，出现了直接y就可以，如下

3、靶机验证

• 在其他主机/虚拟机上进入网址，网址为你虚拟机的ip地址
  

• 在假冒的网址里输入随意的账号密码

• 在kali中看到你输入的账号密码已经被获取
  

到这里为止会出现卡壳的地方可能会有两种可能：第一，伪造的页面加载不出来，出现页面某个因素加载404的情况；第二，网站的账号密码被某种手段加密了，获取的是一串密文————这两种我的建议是换个网站再试试

• 到这里为止第一部分就完成了，下面的缩短网址不做也可以，但是不要在做完实验前把你的setools工具窗口关闭，后面会用到

4、伪装攻击机IP

• 利用网址缩短网站，将攻击机IP输入，然后生成一个短网址，此时靶机访问该网址时和直接输入IP效果相同
  

这里生成完记得测试一下，有些缩短网站会造成无意义伪装比如这样

二、ettercap DNS spoof

1、环境设置

• 使用ifconfig eth0 promisc将kali网卡改为混杂模式
• 输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改，添加记录（这里最下面那一条http实际上不被攻击时ping不同，是没有意义的）
  

这里的操作与第三部分有关，我们在这里添加的记录，在第三部分靶机输入这些网站后会跳转到伪造的网站（前提是完成下面这些操作）

2、ettercap的使用

• 使用ettercap -G开启ettercap

• 默认Primary interface应该为eth0，如果不是，就改成eth0

• 点击√开始扫描
  

• 点击右上角的工具栏，扫描子网选择Hosts→Scan for hosts
  

• 查看扫描到的存活主机,点击Hosts→Host list
  

• 查看一下靶机的ip与网关（上次实验安装的xp系统还能用上）
  

• 对应靶机的网关是192.168.241.2，将该内容添加到target1；靶机的ip地址是192.168.241.137，将该内容添加到target2
  

• 点击蜘蛛界面右上角三个点→点击Plugins->Manage the plugins，选择dns_spoof，即DNS欺骗插件并双击
  

3、验证靶机是否能够成功被攻击

• 在开启上一步DNS欺骗攻击前，在虚拟机上ping一下第二部分缓存表添加的几个网站能否ping通原网站
  

• 开启DNS欺骗攻击，再ping一次试试是否为你kali的攻击ip地址
  
  
  
  

• 如果ping后是kali的ip，则第二部分完成；如果ping地址没有变化，那就试试这个命令：ettercap -Tq -i eth0 -P dns_spoof -M arp

三、结合应用两种技术，用DNS spoof引导特定访问到冒名网站

思路:SET工具可以建立冒名网站,ettercap DNS spoof可以修改DNS缓存表使网址ip指向我们所设置的假冒ip,这样就可以让靶机输入实际网址而进入冒名网站了

• 如果你的第一部分做完后setools窗口没关掉那就做下一步，如果关了在做一次第一部分

这里重做时可能会出现下面的问题——80端口占用导致无法开启
使用netstat -tupln |grep 80查看80端口是否被占用(若存在被占用的情况kill 编号杀死进程)

• 通过步骤2实施DNS欺骗，此时在靶机输入网址，可以发现成功访问我们的冒名网站，kali端可以监控收集靶机的登录信息
  
  
• 错误展示：我当时做完set就认为伪造的网站一直存在把setools窗口关了，实际是不行的，但可以看到dns spoof成功运行了
  

实验总结

1、基础问题回答

（1）通常在什么场景下容易受到DNS spoof攻击？

• 公共网络环境下，如未加密免费wifi
• 同一局域网下

（2）在日常生活工作中如何防范以上两攻击方法

• 不轻易接入公共网络环境
• 使用最新版本的DNS服务器
• 养成输入重要信息前验证网站真实性的习惯

2、实验体会

个人认为本次实验总体比较简单，在我自己做的过程中也遇到了一些坑，本质上还是实验原理的理解问题，比如第二部分的设置，最后也得到了解决；通过本次实验学习了利用各种工具克隆网页，制作一个钓鱼网站，通过监控可以获取靶机账号密码信息，在现实生活中需要有防范这类攻击的意识。