Exp7 网络欺诈防范

基础问题回答

（1）通常在什么场景下容易受到DNS spoof攻击

• DNS spoof攻击，也称为DNS欺骗或DNS欺瞒，是一种网络攻击手法，其中攻击者通过伪造DNS（域名系统）应答来误导互联网用户，使得他们访问恶意网站或服务器，而不是他们原本想要访问的真实网站或服务。以下场景可能会容易受到DNS spoof攻击

  • 未加密的DNS查询：当客户端使用明文的DNS查询时，攻击者可以通过嗅探网络流量来拦截这些查询，并发送伪造的DNS响应，将用户导向恶意站点。

  • 缺乏DNSSEC验证：DNSSEC（域名系统安全扩展）可以防止DNS数据被篡改。如果没有实施DNSSEC，攻击者更容易成功执行DNS欺骗。

  • 本地网络不安全：在公共WiFi或未受保护的局域网中，攻击者更容易通过ARP缓存中毒（ARP spoofing）等手段，成为中间人（Man-in-the-Middle, MITM），进而实施DNS欺骗。

  • 客户端信任本地DNS服务器：在某些情况下，如果客户端自动配置或错误地配置为信任本地网络上的非授权DNS服务器，攻击者可利用这一点进行DNS欺骗。

  • 软件或设备漏洞：存在漏洞的DNS服务器软件或客户端设备可能无法正确验证DNS响应的来源或完整性，从而为攻击者提供可乘之机。

  • 缺乏端到端验证：在没有实施HTTPS或TLS等加密协议的网站访问过程中，即使DNS响应正确，用户也可能在不知情的情况下被重定向至假冒网站，尤其是在第二次跳转中。

  • 社会工程学：利用用户的无知或疏忽，诱使其手动更改DNS设置或点击链接，间接实现DNS欺骗的目的。

（2）在日常生活工作中如何防范以上两攻击方法

• 加强网络安全意识，遇到不明链接不要点，遇到不明wifi不要乱连。包括提高识别可疑邮件、链接和附件的能力，不轻易透露个人信息或点击未知来源的链接。
• 保持操作系统、浏览器及安全软件的最新更新，安装反病毒和反恶意软件，定期扫描系统。

实践总结与体会

通过这次实验，感觉黑客真的有点厉害的，网络欺诈然后骗账号和密码，这回的实验的两个内容，冒名网站和DNS欺骗，在实际应用中非常危险，攻击者可以轻松获取用户的敏感信息。
以后遇到不明链接还是最好不要点，严防社攻钓鱼攻击等。然后也查了一些防范方法如下：

防范方法：
保持软件更新：及时更新操作系统和所有应用程序，修补已知的漏洞。
使用安全软件：安装并定期更新防病毒软件和防火墙，防止恶意软件感染。
启用HTTPS：尽量访问启用了HTTPS的网站，确保数据传输的安全性。
DNSSEC：使用DNSSEC验证DNS数据的完整性，防止DNS欺骗。
教育用户：提高用户的安全意识，警惕钓鱼网站和不明链接。

实验过程记录

（1）简单应用SET工具建立冒名网站

• 要让冒名网站在别的主机上也能看到，需要开启本机的Apache服务，并且要将Apache服务的默认端口改为80所以先在kali查看80端口是否被占用，netstat -tupln |grep 80,发现我的80端口没有被占用，继续实验，如果被占用了可以使用kill PID杀死进程。

• 用vi打开/etc/apache2/ports.conf，查看配置文件中的监听端口是否为80，如果不是就改成80。vi /etc/apache2/ports.conf

• 输入命令apachectl start开启Apache服务,提示用systemctl start apache2：这是 systemd 命令，用于启动 Apache 服务。在许多 Linux 发行版（如 Ubuntu）上，Apache 服务的名称是 apache2。

• 打开一个新的终端窗口，输入setoolkit打开SET工具：

• 看到一连串的选项，首先选择1（社会工程学攻击）

• 然后选择2，网页攻击

• 然后选择3: Credential Harvester Attack Method即凭证收集攻击方法。
  
  

• 选择2 克隆网站

翻译一下

• 接着输入攻击机的IP地址，也就是kali的IP地址，按照提示输入要克隆的url之后，我伪装的是校邮网站https://mail.besti.edu.cn
  ，用户登录密码截取网页已经在攻击机的80端口上准备就绪：

• 成功克隆
  

• 然后我们在同一局域网下另一台虚拟机或者主机访问该页面，发现终端上也显示了连接信息

• 我们重新打开一遍，尝试第一个网页版克隆攻击，之前的都一样，只有以下和之前的不一样选的是1
  

• 成功抓取用户名20211317 密码zaq123
  

（2）ettercap DNS spoof

• 首先需要将kali网卡改为混杂模式，因此键入ifconfig eth0 promisc命令。

• 输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改，如图所示，添加2个自己需要测试的网站的DNS记录，图中的IP地址是我kali主机的IP:

• 输入ettercap -G指令，开启ettercap，会自动弹出来一个ettercap的可视化界面，选择Primary interface为eth0，点击√开始扫描

• 在跳转出的页面的左上角点击搜索

• 再点击Hosts list查看存活主机，将靶机网关的IP添加到target1，靶机IP添加到target2，

• 选择Plugins—>Manage the plugins，,双击dns_spoof

• 此时发现ping的ip来源仍然不对，或者出现ping不通的情况，分析和参考往届
  学长学姐博客，发现可能是用的学校公网的原因，于是换成个人热点重复实验，这里显示的网站ip地址已经是我的kali的ip地址，成功欺骗，但是由于防火墙和桥接模式的原因，虚拟机和主机之间无法ping通。

结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

• 第一步重复第一部分内容，运行SET工具，还是使用克隆登陆界面的url,

• 第二步重复第二部分内容，利用DNS欺骗将靶机引导到冒名网站
  

• 此时在靶机输入网址www.mosoteach.cn，可以看到并没有登录到云班课的网站，而是被欺骗到超星的网站了。
  

实验问题及解决方法

• 问题1：在简单应用SET工具建立冒名网站这部分内容中，第一遍访问ip地址进不去冒名网站。
  开启apach的mysql要输入apachectl start，但是会提示systemctl start apache2 这是 systemd 命令，用于启动 Apache 服务。在许多 Linux 发行版（如 Ubuntu）上，Apache 服务的名称是 apache2。但是实际上还要再输入systemctl status apache2才可以

• 问题2：连接校园网进行实验第二部分时进行dns欺骗，访问不了页面。
  换个人热点后成功。