Exp7 网络欺诈防范
一、实验内容
本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
具体实践有:
- 简单应用SET工具建立冒名网站
- ettercap DNS spoof
- 结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
- 请勿使用外部网站做实验
二、实验基础问题问答
通常在什么场景下容易受到DNS spoof攻击
- 攻击机和靶机在同一子网中容易受到DNS spoof攻击
- 连接到无需密码的WiFi更容易受到DNS spoof攻击
在日常生活工作中如何防范以上两攻击方法
- 不点来路不明的链接,不进入来路不明的网站,不在这种网站上随意输入自己的用户名密码
- 尽量不连接无需密码的公共网络
三、实验过程
3.1 简单应用SET工具建立冒名网站
- 防止出现权限不够的问题,以下所有实验步骤使用root权限进行操作,具体命令为
sudo su - 以下实验开始之前,建议拍摄虚拟机快照留个备份
- 使用命令
vi /etc/apache2/ports.conf将Apache服务端口更改为80(HTTP),否则若生成的钓鱼网站使用443端口(HTTPS)将无法验证证书。
netstat -tupln |grep 80查看80端口是否被占用
- 如果有,使用
kill+pid杀死该进程(因为后续Apache服务需要使用80端口) - 使用命令
apachectl开启Apache服务
- 使用命令
setoolkit开启SET工具 - 在打开的界面选择1(社会工程学攻击)
- 选择2(钓鱼网站攻击向量)
- 选择3(登陆密码截取)
- 选择2(网站克隆)
- 输入ip环节可以选择手动键入Kali机ip,也可以选择直接回车默认ip(一样的都是Kali的ip)
- 直接回车后输入需要克隆的网站(推荐云班课/学习通的登陆界面)
- 我选择克隆学习通登陆界面,网址如下
超星学习通登录 - 输入进去
- 这里有个询问要不要关闭的提示,直接选y就可以了
- 我们的钓鱼网站现在制作完成,等待用户进入网站
- 在主机中输入kali机的ip,跳转后可以看到,直接进入了钓鱼网站
- 在页面中输入一些信息
- 返回到kali机中,发现捕获了明文的用户名和密码(有些可能会捕获密文的)
- 第一部分实验完成
- 如果在第一部分实验的最后阶段发现捕获不到用户名密码,有可能是选择的登陆界面克隆有问题,不返回信息;或者是出现404等问题,可以多尝试几个网站
3.2 ettercap DNS spoof
-
首先将网卡设为混杂模式,
ifconfig eth0 promisc -
检查一下是否设置成功,
ifconfig eth0
- 修改DNS缓存表
vi /etc/ettercap/etter.dns(找一些靠谱的大网址把ip改成自己的)
ettercap -G打开可视化界面- 选择网卡eth0
- 选择右上角Host选项中的Scan for hosts,扫一下当前网段的活跃主机
- 选择在右上角Host选项中的Hosts list查看活跃主机名单
- 看到靶机 Windows xp的网关ip为192.168.247.2,ip为192.168.247.140
- 将靶机
网关设为target1,靶机的ip设为target2
-
选择右上角Plugins选项中的Manage pulgins
-
选择dns_spoof开始进行DNS欺骗
- 此时回到靶机ping一下刚刚在kali机DNS缓存表中设置的几个地址(eg:ping www.mosoteach.cn)
- 可以看到其实ping通了Kali机的IP[192.168.247.137],而非百度的IP
- 返回kali中存在访问的记录信息
3.3 结合应用两种技术,用DNS spoof引导特定访问到冒名网站
- 这里需要结合实验的第一二部分
- 先使用SET工具建立一个钓鱼网站
- 再重复实验二中的步骤,
ettercap -G开启可视化界面,扫描主机,查看活跃主机列表,将靶机网关和靶机IP分别设置为target1,target2;开启dns_spoof攻击 - 这个时候在靶机浏览器中输入baidu.com发现显示的界面并非百度,而是我们的钓鱼网站,引导成功
- 在这里输入用户名和密码,kali机中同样会捕获到明文的信息
- 自此实验内容全部结束
- 如果想要让受害者更难察觉到异常,可以先将克隆的界面网址加入到kali机的DNS缓存表中
- 这样靶机访问的页面图形能够和网址对应上,却在使用我们的钓鱼网站,更加隐蔽
