基础问题回答
通常在什么场景下容易受到DNS spoof攻击
可能发生的场景如下
-
公共Wi-Fi网络:在咖啡店、机场、酒店等公共场所提供的Wi-Fi网络中,攻击者可以更容易地执行中间人攻击,包括DNS欺骗。
-
不安全的网络连接:任何未经加密的网络连接都容易受到DNS欺骗攻击,因为数据包可以被截获和篡改。
-
配置不当的路由器:如果路由器配置不当,没有正确设置DNS安全措施,也可能容易受到DNS欺骗。
-
老旧或未更新的软件:操作系统、浏览器或DNS解析器软件如果存在已知漏洞且未被修补,也可能成为DNS欺骗攻击的目标。
-
缺乏安全意识的用户:用户如果不了解网络安全的基本知识,可能无意中点击了恶意链接或下载了恶意软件,从而成为DNS欺骗的受害者。
在日常生活工作中如何防范以上攻击方法
-
使用加密连接:尽量使用HTTPS等加密协议来访问网站,这可以减少中间人攻击的风险。
-
使用安全的DNS服务:使用提供DNSSEC(DNS安全扩展)的DNS服务,这可以验证DNS响应的完整性。
-
更新软件和操作系统:定期更新操作系统、浏览器和其他软件,以确保所有安全补丁都是最新的。
-
使用VPN:虚拟私人网络(VPN)可以加密网络连接,保护数据不被拦截。
-
配置路由器:确保路由器的固件是最新的,并且配置了适当的安全设置,如禁用DNS缓存投毒保护。
-
增强安全意识:识别钓鱼邮件和恶意网站,避免点击不明链接或下载不明来源的文件。
-
使用防火墙和安全软件:安装和配置防火墙以及防病毒软件,以检测和阻止可疑的网络活动。
-
监控网络流量:使用网络监控工具来检测异常流量模式,这可能表明正在进行DNS欺骗或其他类型的网络攻击。
实验过程记录
简单应用SET工具建立冒名网站
由于我的apache2默认端口是80,无需再进行修正
使用如下工具打开工具箱
setoolkit
输入1选择社会工程学攻击
输入2选择钓鱼网站
输入3窃取密码
输入2克隆网站,紧接着按下回车,并粘贴要克隆的URI
由于我的kali-WSL和windows配置了镜像网络,访问 http://localhost/ 即可到达克隆的网站
随后输入用户名和密码,在kali可以监听到具体内容
ettercap DNS spoof
输入如下命令将kali网卡改为混杂模式
ifconfig eth1 promisc
通过ifconfig查看到kali的ip为172.30.0.252
向/etc/ettercap/etter.dns添加三条记录
www.mosoteach.cn A 172.30.0.252
mail.besti.edu.cn A 172.30.0.252
www.baidu.com A 172.30.0.252
再使用如下命令开启ettercap
sudo ettercap -G
将Primary interface选择为eth1
随后打开 ettercap
扫描后,在Host Listing可以看到一系列主机
随后加载dns_spoof DNS欺骗模块,并在Windows上访问 www.mosoteach.cn
此时,该域名就被解析到kali的IP上
此时 域名 www.mosoteach.cn 已被欺骗为 172.30.0.252
结合应用两种技术,用DNS spoof引导特定访问到冒名网站
在上一步的基础上,再次使用 setoolkit 搭建伪造的挑战杯官网并登录
此时访问 kali的IP会跳转到钓鱼网站,而kali的IP又和 www.baidu.com 绑定了在一起
因此访问 www.baidu.com 时,就会跳转到钓鱼的挑战杯官网,如下图所示:
在这里输入用户名和密码就会被kali监听
实践总结与体会
本实验虽然涉及到的软件不多,但由于WSL和Windows特殊的网络配置,导致实验过程中出现了不少问题。虽然过程比较麻烦,但收获还是很大的。
首先,它让我了解到我习以为常的网络环境很有可能危机四伏,哪怕是点入了一个不正确的域名就有可能丢失宝贵的用户名和密码。在不安全的开放网络上,其中的路由器可能就是黑客牟取不法利益的道具,而我很可能在不经意间就掉进了圈套之中。
这再一次提醒我网络安全的重要性,没有网络安全,个人隐私保障就无从谈起。在深不可测的网络环境中,一定要擦亮眼睛,警惕陷阱。