-
一、实践内容
-
1.1 实践目标
- 本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
-
1.2 实践内容
- 1.2.1 简单应用SET工具建立冒名网站 (1分)
- 1.2.2 ettercap DNS spoof (1分)
- 1.2.3 结合应用两种技术,用DNS spoof引导特定访问到冒名网站。(2分)
- 1.2.4 请勿使用外部网站做实验
-
二、实践原理
- EtterCap
- EtterCap是一款功能强大的嗅探工具
- ettercap mitm方法
- ARP ARP欺骗
- ICMP 发送ICMP数据包重定向到kali,然后由kali转发(只有受害者发出的数据包经过kali)
- DHCP 发送DHCP数据包,让受害者认为kali是路由器,(只有受害者发出的数据包经过kali)
- Swith Port Stealing ARP静态绑定欺骗
- NDP ipv6协议欺骗技术
- apachectl
- Linux apachectl命令可用来控制Apache HTTP服务器的程序。
- apachectl是slackware内附Apache HTTP服务器的script文件,可供管理员控制服务器,但在其他Linux的Apache HTTP服务器不一定有这个文件。
- 语法: apachectl [configtest][fullstatus][graceful][help][restart][start][status][stop]
- 参数
- configtest 检查设置文件中的语法是否正确。
- fullstatus 显示服务器完整的状态信息。
- graceful 重新启动Apache服务器,但不会中断原有的连接。
- help 显示帮助信息。
- restart 重新启动Apache服务器。
- start 启动Apache服务器。
- status 显示服务器摘要的状态信息。
- stop 停止Apache服务器。
- EtterCap
-
三、实践过程记录
-
3.1 简单应用SET工具建立冒名网站
-
Step1:将SET工具的访问端口改为80端口
- 我们要建立一个钓鱼网站,然后把他挂在本机的http服务下,要使用的端口是80端口。所以我们需要将SET工具的访问端口改为80端口。
- 我们输入命令:
sudo vi /etc/apache2/ports.conf
修改Apache的端口文件,可以看到,此时set工具的访问端口已经是80端口了,所以就不需要修改了,如果不是80,我们要将端口号修改为80,如下图所示:
-
Step2:查看80端口是否被占用
- 输入命令
netstat -tupln |grep 80
- 可以看到80端口并未被占用。
- 如果有进程占用了这个端口,可使用命令 kill+进程号 结束该进程
- 输入命令
-
Step3:开启Apache服务
- 输入命令
apachectl -k start
开启Apache服务
- 输入命令
-
Step4:启动set工具
- 在kali攻击机输入命令
setoolkit
- 选择1,社会工程学攻击
- 选择2,钓鱼网站攻击向量
- 选择
3
,认证获取攻击 - 选择
2
,站点克隆 - 接着输入kali的ip地址
- 输入要被克隆的网站:这里我选择克隆百度网页百度一下,你就知道 (baidu.com)
- 接下来在“Do you want to attempt to disable Apache?”的后面输入 y
- 在靶机(Windows XP)的浏览器中输入攻击机的IP: 192.168.80.128 ,即可看到被克隆的网页,kali中也可看到相应反馈。
- 在kali攻击机输入命令
-
-
3.2 ettercap DNS spoof
-
Step1:将网卡设为混杂模式
- 我们需要输入命令
ifconfig eth0 promisc
,将网卡设为混杂模式,这样就能接收所有经过它的数据流 - 使用
ifconfig eth0
检查
- 我们需要输入命令
-
Step2:修改DNS缓存表
- 输入命令
vi /etc/ettercap/etter.dns
对DNS缓存表进行修改 - 在这里我添加了以下记录:
-
www.mosoteach.cn A 192.168.80.128 www.cnblogs.com A 192.168.80.128 www.baidu.com A 192.168.80.128
- 输入命令
-
Step3:ettercap -G可视化界面
- 接着,我们输入命令
ettercap -G
启动ettercap可视化界面- 我们选择好网卡为eth0 ,并且点击
√
开始监听
- 我们选择好网卡为eth0 ,并且点击
- 在右上角的工具栏中选择 Hosts——>Scan for hosts,扫一下当前网段的活跃主机
- 选择在右上角Host选项中的Hosts list查看活跃主机名单
- 查看一下靶机的ip与网关
- 对应靶机的网关是192.168.80.2,将该内容添加到target1;靶机的ip地址是192.168.80.133,将该内容添加到target2
- 选择右上角Plugins选项中的Manage pulgins
- 选择dns_spoof开始进行DNS欺骗
- 点击左上角开始,此时处于嗅探模式下
- 在靶机中对刚刚在DNS缓存表中添加的网站执行ping命令,结果如下:
- 可以看到,这几个网站的ip地址都变成了kali攻击机的地址了。
- kali端看到反馈信息如下:
- 接着,我们输入命令
-
-
3.3 结合应用两种技术,用DNS spoof引导特定访问到冒名网站
-
Step1:按照第一个实践的步骤克隆一个登录页面
- 这里我选择的是博客园的网站
-
Step2:使用 ettercap DNS spoof 技术进行DNS欺骗
-
step3:在靶机中输入 www.besti.edu.cn 即可跳转到克隆网站
-
-
四、基础问题回答
-
4.1 通常在什么场景下容易受到DNS spoof攻击
- 当我们在同一局域网下容易收到DNS spoof攻击
- 所以平时不要连接未知的网络,很危险
-
4.2 在日常生活工作中如何防范以上两攻击方法
- DNS欺骗攻击大多是被动的。一般情况下,除非发生欺骗攻击,否则并知道我们的DNS已经被欺骗。
- 在打开常用网页时,仔细检查网址是否被篡改;
- 不随便使用不能保障安全的公共网络;
- 使用最新版本的DNS服务器软件,并及时安装补丁;
- 使用入侵检测系统:只要正确部署和配置,使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。
-
-
五、实验心得体会
- 本次实验,我们通过简单应用SET工具建立冒名网站,并结合DNS欺骗访问冒名网站,甚至还能在攻击机中获取登录的账号和密码,切实感受到了网络攻击技术的危险,因此在日常生活中,一些不明的公共网络尽量不要主动连接,并且不要在该公共网络上登录涉及个人隐私、财产安全的账号。