Exp7 网络欺诈防范
基础问题回答
(1)通常在什么场景下容易受到DNS spoof攻击
- DNS spoof攻击,也称为DNS欺骗或DNS欺瞒,是一种网络攻击手法,其中攻击者通过伪造DNS(域名系统)应答来误导互联网用户,使得他们访问恶意网站或服务器,而不是他们原本想要访问的真实网站或服务。以下场景可能会容易受到DNS spoof攻击
-
未加密的DNS查询:当客户端使用明文的DNS查询时,攻击者可以通过嗅探网络流量来拦截这些查询,并发送伪造的DNS响应,将用户导向恶意站点。
-
缺乏DNSSEC验证:DNSSEC(域名系统安全扩展)可以防止DNS数据被篡改。如果没有实施DNSSEC,攻击者更容易成功执行DNS欺骗。
-
本地网络不安全:在公共WiFi或未受保护的局域网中,攻击者更容易通过ARP缓存中毒(ARP spoofing)等手段,成为中间人(Man-in-the-Middle, MITM),进而实施DNS欺骗。
-
客户端信任本地DNS服务器:在某些情况下,如果客户端自动配置或错误地配置为信任本地网络上的非授权DNS服务器,攻击者可利用这一点进行DNS欺骗。
-
软件或设备漏洞:存在漏洞的DNS服务器软件或客户端设备可能无法正确验证DNS响应的来源或完整性,从而为攻击者提供可乘之机。
-
缺乏端到端验证:在没有实施HTTPS或TLS等加密协议的网站访问过程中,即使DNS响应正确,用户也可能在不知情的情况下被重定向至假冒网站,尤其是在第二次跳转中。
-
社会工程学:利用用户的无知或疏忽,诱使其手动更改DNS设置或点击链接,间接实现DNS欺骗的目的。
-
(2)在日常生活工作中如何防范以上两攻击方法
- 加强网络安全意识,遇到不明链接不要点,遇到不明wifi不要乱连。包括提高识别可疑邮件、链接和附件的能力,不轻易透露个人信息或点击未知来源的链接。
- 保持操作系统、浏览器及安全软件的最新更新,安装反病毒和反恶意软件,定期扫描系统。
实践总结与体会
通过这次实验,感觉黑客真的有点厉害的,网络欺诈然后骗账号和密码,这回的实验的两个内容,冒名网站和DNS欺骗,在实际应用中非常危险,攻击者可以轻松获取用户的敏感信息。
以后遇到不明链接还是最好不要点,严防社攻钓鱼攻击等。然后也查了一些防范方法如下:
防范方法:
保持软件更新:及时更新操作系统和所有应用程序,修补已知的漏洞。
使用安全软件:安装并定期更新防病毒软件和防火墙,防止恶意软件感染。
启用HTTPS:尽量访问启用了HTTPS的网站,确保数据传输的安全性。
DNSSEC:使用DNSSEC验证DNS数据的完整性,防止DNS欺骗。
教育用户:提高用户的安全意识,警惕钓鱼网站和不明链接。
实验过程记录
(1)简单应用SET工具建立冒名网站
- 要让冒名网站在别的主机上也能看到,需要开启本机的Apache服务,并且要将Apache服务的默认端口改为80所以先在kali查看80端口是否被占用,
netstat -tupln |grep 80
,发现我的80端口没有被占用,继续实验,如果被占用了可以使用kill PID
杀死进程。
- 用vi打开/etc/apache2/ports.conf,查看配置文件中的监听端口是否为80,如果不是就改成80。
vi /etc/apache2/ports.conf
- 输入命令
apachectl start
开启Apache服务,提示用systemctl start apache2
:这是 systemd 命令,用于启动 Apache 服务。在许多 Linux 发行版(如 Ubuntu)上,Apache 服务的名称是 apache2。
- 打开一个新的终端窗口,输入
setoolkit
打开SET工具:
- 看到一连串的选项,首先选择1(社会工程学攻击)
- 然后选择2,网页攻击
-
然后选择3: Credential Harvester Attack Method即凭证收集攻击方法。
-
选择2 克隆网站
翻译一下
- 接着输入攻击机的IP地址,也就是kali的IP地址,按照提示输入要克隆的url之后,我伪装的是校邮网站https://mail.besti.edu.cn
,用户登录密码截取网页已经在攻击机的80端口上准备就绪:
-
成功克隆
-
然后我们在同一局域网下另一台虚拟机或者主机访问该页面,发现终端上也显示了连接信息
- 我们重新打开一遍,尝试第一个网页版克隆攻击,之前的都一样,只有以下和之前的不一样选的是1
- 成功抓取用户名20211317 密码zaq123
(2)ettercap DNS spoof
- 首先需要将kali网卡改为混杂模式,因此键入
ifconfig eth0 promisc
命令。
- 输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改,如图所示,添加2个自己需要测试的网站的DNS记录,图中的IP地址是我kali主机的IP:
- 输入
ettercap -G
指令,开启ettercap,会自动弹出来一个ettercap的可视化界面,选择Primary interface为eth0,点击√开始扫描
- 在跳转出的页面的左上角点击搜索
- 再点击Hosts list查看存活主机,将靶机网关的IP添加到target1,靶机IP添加到target2,
- 选择Plugins—>Manage the plugins,,双击dns_spoof
- 此时发现ping的ip来源仍然不对,或者出现ping不通的情况,分析和参考往届
学长学姐博客,发现可能是用的学校公网的原因,于是换成个人热点重复实验,这里显示的网站ip地址已经是我的kali的ip地址,成功欺骗,但是由于防火墙和桥接模式的原因,虚拟机和主机之间无法ping通。
结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
- 第一步重复第一部分内容,运行SET工具,还是使用克隆登陆界面的url,
-
第二步重复第二部分内容,利用DNS欺骗将靶机引导到冒名网站
-
此时在靶机输入网址www.mosoteach.cn,可以看到并没有登录到云班课的网站,而是被欺骗到超星的网站了。
实验问题及解决方法
-
问题1:在
简单应用SET工具建立冒名网站
这部分内容中,第一遍访问ip地址进不去冒名网站。
开启apach的mysql要输入apachectl start,但是会提示systemctl start apache2
这是 systemd 命令,用于启动 Apache 服务。在许多 Linux 发行版(如 Ubuntu)上,Apache 服务的名称是 apache2。但是实际上还要再输入systemctl status apache2
才可以 -
问题2:连接校园网进行实验第二部分时进行dns欺骗,访问不了页面。
换个人热点后成功。