1.实验内容
1.1 基础问题回答
(1)通常在什么场景下容易受到DNS spoof攻击
对于一些开放的网络,公共场所的开放网络容易被别有用心的人设下诱饵,此时乱点链接,登录一些账号容易遭受攻击
(2)在日常生活工作中如何防范以上两攻击方法
提高安全意识,尽量不连接不安全网络,对于不明链接不要输入敏感个人信息
1.2 实验目标
本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
- (1)简单应用SET工具建立冒名网站
- (2)ettercap DNS spoof
- (3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
2.实验过程
(1)简单应用SET工具建立冒名网站
-
查看本机的80端口是否被其他进程占用
netstat -tupln |grep 80
-
结束占用进程
kill+进程号
-
开启Apache服务
systemctl start apache2
-
使用set工具setoolkit克隆网站
setoolkit
-
首先使用命令进入setoolkit,依次选择“Social-Engineering Attacks”→“Website Attack Vectors”→“Credential Harvester Attack Method”→“Site Cloner”,回车
-
克隆目标为天翼快递
http://www.tykd.com/User/login/
-
在靶机中登录IP为192.168.157.133的网页,可以看到攻击机终端中显示出我们输入的明文信息
(2)ettercap DNS spoof
-
使用
ifconfig查询IP地址192.168.157.133
-
使用
ifconfig eth0 promisc将Kali的桥接网卡改为混杂模式
-
输入命令
vi /etc/ettercap/etter.dns编辑ettercap的DNS表,在最后追加一条DNS记录:www.tykd.com A 192.168.157.133
-
查看靶机IP
-
输入
ettercap -G指令开启ettercap,在弹出的界面中选择eth0并点击确定,即可监听eth0网卡。
- “HOSTs”-“Scan for hosts”扫描子网,在Hosts list中查看扫描到的主机
-
添加target。攻击机网关IP加入到target1,靶机IP加入到target2.
-
应用ARP欺骗。点击“地区”图标,“ARP poisoning”
-
选择“Plugins”——“Manage plugins”,然后找到dns_spoof双击该选项激活该插件。
-
在靶机上先使用命令
ipconfig /flushdns刷新DNS缓存 -
使用命令
ping www.tykd.com检查此时的IP地址。
欺骗成功
(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
-
2.1中设置不变。
-
2.2中的靶机ip变为192.168.157.1,其他设置保持不变。
-
在靶机上访问http://www.tykd.com/User/login/ ,输入用户名和密码,可以发现setoolkit接收到了相应的用户名和密码,如图
3.问题及解决方案
-
问题1:终端启动setoolkit过程无法继续进入主界面,下图中无法正常键入回车
-
问题1解决方案:重启虚拟机,再次启动setoolkit顺利进行
-
问题2:进行了ARP欺骗后,DNS欺骗仍然不成功
-
问题2解决方案:在攻击机、靶机和网关间互相发送DNS包需要一定的时间,等待一会再用靶机访问网站。
-
问题3:DNS欺骗无法成功实现,ping网站显示不是攻击机ip
-
问题3解决方案:修改etter.dns文件时没有把注释符号#删除,删除#即可。
-
问题4:ettercap -G报错
-
问题4解决方案:可以先输入xhost local:root后sudo ettercap -G解决
4.学习感悟、思考等
本次试验花费时间较长,途中大小问题不断,可以明白对于实验严谨的操作是必要的,哪怕是在某处有小问题都有可能会在实验结果处造成巨大影响。除此之外,本次实验也见识了DNS欺骗的厉害之处,实现了简单的钓鱼网站,在日常生活中要小心谨慎对待。