2017-2018-2 20155314《网络对抗技术》Exp7 网络欺诈防范

2017-2018-2 20155314《网络对抗技术》Exp7 网络欺诈防范

目录

• 实验目标
• 实验内容
• 实验环境
• 基础问题回答
• 预备知识
• 实验步骤
  • 1 利用setoolkit创建冒名网站
  • 2 ettercap DNS spoof
  • 3 利用DNS spoof引导特定访问到冒名网站
• 实验总结与体会
• 参考资料

返回目录

实验目标

理解经常使用网络欺诈背后的原理，以提升防范意识，并提出具体防范方法。

返回目录

实验内容

1. 简单应用SET工具创建冒名网站 （1分）

2. ettercap DNS spoof （1分）

3. 结合应用两种技术，用DNS spoof引导特定访问到冒名网站。（1.5分）

返回目录

实验环境

• macOS本机
• macOS下Parallels Desktop虚拟机中（网络源均设置为共享网络模式）：
  • Kali Linux - 64bit（攻击机，IP为10.211.55.10）
  • Windows 7 - 64bit（靶机，IP为10.211.55.14）

返回目录

基础问题回答

1. 一般在什么场景下容易受到DNS spoof攻击？
   • 在同一局域网下比较容易受到DNS spoof攻击，攻击者能够冒充域名服务器，来发送伪造的数据包，从而修改目标主机的DNS缓存表，达到DNS欺骗的目的
   • 连公共场合的免费WiFi也容易受到攻击，尤为是那种不须要输入密码直接就能够链接的更加可疑
2. 在平常生活工做中如何防范以上两攻击方法？
   • 能够将IP地址和MAC地址进行绑定，不少时候DNS欺骗攻击是以ARP欺骗为开端的，因此将网关的IP地址和MAC地址静态绑定在一块儿，能够防范ARP欺骗，进而放止DNS spoof攻击
   • 直接使用IP登陆网站，这种是最安全的，可是实际操做起来太麻烦，没有人会去记一个网站的IP地址
   • 对于冒名网站，要作到不随便点来路不明的连接，或者在点以前能够先观察一下域名，查看其是否存在异常

返回目录

预备知识

• DNS

  DNS即Domain Name System，域名系统以分布数据库的形式将域名和IP地址相互转换。DNS协议即域名解析协议，是用来解析域名的。有了DNS咱们就不用再记住烦人的IP地址，用相对好记的域名就能够对服务器进行访问，即便服务器更换地址，咱们依旧能够经过域名访问该服务器，这样可以时候咱们更方便的访问互联网。

• DNS spoof（DNS欺骗）
  • 原理：

  DNS欺骗是一种中间人攻击形式，它是攻击者冒充域名服务器的一种欺骗行为。

  DNS spoof主要用于向主机提供错误DNS信息。当用户尝试浏览网页，例如IP地址为XXX.XX.XX.XX，网址为www.bankofamerica.com，而实际上登陆的确实IP地址YYY.YY.YY.YY上的www.bankofamerica.com，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这个网址是攻击者用以窃取网上银行登陆证书以及账号信息的假冒网址，DNS欺骗其实并非真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。
  

  • 缘由：

  尽管DNS在互联网中扮演如此重要的角色，可是在设计DNS协议时设计者没有考虑到一些安全问题，致使了DNS的安全隐患与缺陷。

  DNS欺骗就是利用DNS协议设计时的一个很是重要的安全缺陷。首先欺骗者向目标机器发送构造的APR应答包，ARP欺骗成功后，嗅探到对方发出的DNS请求数据包，分析数据包取得ID和端口号后，向目标发送本身构造后的一个DNS返回包，对方收到DNS应答包，发现ID和端口号所有正确，即把返回数据包中的额域名和对应的IP地址保存近DNS缓存表中，然后来当真实的DNS应答包返回时则被丢弃。

  • 防范：

  DNS欺骗攻击是很难防护的，由于这种攻击大多数本质都是被动的。一般状况下，除非发生欺骗攻击，不然你不可能知道你的DNS已经被欺骗，只是你打开的网页与你想要看到的网页有所不一样。在不少针对性的攻击中，用户都没法知道本身已经将网上银行账号信息输入到错误的网址，直到接到银行的电话告知其账号已购买某某高价商品时用户才会知道。这就是说，在抵御这种类型攻击方面仍是有迹可循：

  • 保护内部设备： 像这样的攻击大多数都是从网络内部执行攻击的，若是你的网络设备很安全，那么那些感染的主机就很难向你的设备发动欺骗攻击。
  • 不要依赖DNS：在高度敏感和安全的系统，你一般不会在这些系统上浏览网页，最后不要使用DNS。若是你有软件依赖于主机名来运行，那么能够在设备主机文件里手动指定。
  • 使用入侵检测系统： 只要正确部署和配置，使用入侵检测系统就能够检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。
  • 使用DNSSEC： DNSSEC是替代DNS的更好选择，它使用的是数字前面DNS记录来确保查询响应的有效性，DNSSEC如今尚未普遍运用，可是已被公认为是DNS的将来方向，也正是如此，美国国防部已经要求全部MIL和GOV域名都必须开始使用DNSSEC。

返回目录

实验步骤

1 利用setoolkit创建冒名网站

SET(Social-Engineer Toolkit)是一款python开发的社会工程学工具包。

• 打开Kali攻击机，终端中输入setoolkit命令启动SET工具，而后输入y，出现欢迎页面（跟msfconsole都是一个德行）：
  
  往下拉会出现几个选项，分别是：

  • Social-Engineering Attacks：社会工程学攻击
  • Fast-Track Penetration Testing：快速追踪渗透测试
  • Third Party Modules：第三方模块
  • Update the Social-Engineer Toolkit：更新软件
  • Update SET configuration：升级配置
  • Help, Credits, and About：关于
  • Exit the Social-Engineer Toolkit：退出

• setoolkit最经常使用的功能是社会工程学攻击，所以咱们选择第一个选项1：
  
  
  又出现一个欢迎页面，以后有几个选项：

  • Spear-Phishing Attack Vectors：鱼叉式钓鱼攻击向量（也称针对性钓鱼攻击）
  • Website Attack Vectors：钓鱼网站攻击向量
  • Infectious Media Generator：媒介感染生成器
  • Create a Payload and Listener：生成一个payload和监听
  • Mass Mailer Attack：大规模邮件钓鱼
  • Arduino-Based Attack Vector：基于Arduino的攻击向量（相似于单片机）
  • Wireless Access Point Attack Vector：无线接入点攻击向量
  • QRCode Generator Attack Vector：二维码攻击向量
  • Powershell Attack Vectors：powershell攻击向量
  • SMS Spoofing Attack Vectors：SMS欺骗攻击向量
  • Third Party Modules：第三方模块
  • Return back to the main menu.返回主菜单
• 这里咱们选择钓鱼网站攻击向量2：
  
  
  
  选完又蹦出来几个选项，好在有相应介绍：
  • Java Applet Attack Method：Java程序攻击（这里会欺骗用户进行Java升级，内含payload，可能太老，win7实测无效）
  • Metasploit Browser Exploit Method：基于Metasploit的浏览器攻击
  • Credential Harvester Attack Method：认证获取攻击（搭建web、克隆登录网页、获取认证信息）
  • Tabnabbing Attack Method：标签劫持攻击
  • Web Jacking Attack Method：网页劫持攻击
  • Multi-Attack Web Method：综合攻击
  • Full Screen Attack Method：全屏攻击
  • HTA Attack Method：HTA攻击（当用户访问设计好的网页时，会提示选择keep/discard(保留/放弃)）
  • Return to Main Menu：返回主菜单
• 这里咱们选择认证获取攻击3截取登陆密码：
  
  出现3个功能选项，分别是：
  • Web Templates：网页模板（只有google,facebook,twitter,yahoo,java required这几个选项，能够本身添加）
  • Site Cloner：站点克隆（有些网页克隆会出现问题，只能克隆一些简单的网页）
  • Custom Import：自定义输入
  • Return to Webattack Menu：返回Web攻击菜单
• 这里咱们选择站点克隆2进行网站的克隆：
  • 输入要克隆的url，这里以学校图书馆在线预定系统为例（打码了！）：
    
  • 这里提示端口80被占用，输入y杀死占用该端口的进程Apache和nginx服务，开启Harvester服务：
    
    等待“鱼儿”上钩！
• win7靶机打开IE浏览器，输入Kali攻击机的IP：
  
  靶机上钩了！Kali捕获到靶机的HTTP请求！诶等等？！貌似有404???
  
  可恶啊靶机这边显示的网页也不正常>_ <看来是钓鱼网站制做失败了> _<
• 换成教务网试试？别急，我们这回先在本机瞅瞅钓鱼网站作得咋样！浏览器中输入本身的IP：
  
  奈斯！如出一辙啊嘻嘻（阴脸）
• 可是，像学长的博客中说的那样，为了可以更好的迷惑别人，咱们不能直接将IP地址发给对方，须要先对其进行必定的假装！这里咱们找一个短网址生成器，将攻击机的IP地址变成一串短网址：
  
• 将获得的假装地址http://short.php5developer.com/dst在靶机的IE浏览器中打开，出现一个跳转提示（和广告）：
  
  往下拉，它告诉咱们等待10秒后会自动跳转到钓鱼网站的IP：
  10s后跳转——出来吧钓鱼网站!!!
  
  Kali这边的setoolkit会记录下靶机的IP以及生成一个以时间为名的文件：
  

• 而后模拟不知情的受害用户在钓鱼网站上输入用户名、密码（甚至还有验证码），接着就会被setoolkit工具记录下来：
  
  其中submit对应html中的提交当前表单中的所有信息，包括username和password。能够看到钓鱼网站攻击成功，成功窃取用户的身份信息（虽然这回是假的，不过仍不得不让人细思极恐啊）!!!

返回目录

2 ettercap DNS spoof

ettercap是一个很好用来演示ARP欺骗攻击的工具，包含一个DNS插件，很是容易使用。

• 输入命令ifconfig eth0 promisc将Kali攻击机的网卡改成混杂模式：
  
• 输入命令vi /etc/ettercap/etter.dns对ettercap的DNS缓存表进行修改：
  
  在对应的位置添加对应的标识和IP地址（*表明全部域名），后边就是你要欺骗成的IP地址。如图所示，我添加了一条对博客园网站的DNS记录，并欺骗成Kali攻击机的IP。
• 输入命令ettercap -G启动ettercap可视化界面，一下弹出一个带有蜘蛛的界面把我吓了一跳（蜘蛛恐惧症伤不起啊>_<）：
  
• 依次选择上方工具栏中的Sniff->Unified sniffing...打开配置界面，选择网卡eth0（默认）：
  
  
• 依次选择工具栏中的Hosts->Scan for hosts扫描存活主机：
  
• 再选择同目录下的Hosts list查看扫描结果，而后开启中间人监听模式，将要监听的两端（网关IP和win7靶机IP）分别添加到Target一、Target2，如图：
  
• 选择工具栏Mitm—>Arp poisoning，勾选Sniff remote connections.（嗅探并保持原链接状态），肯定，而后选择工具栏Start->Start sniffing开始实行arp欺骗：
  
• 在靶机中发现已经被arp欺骗成功（欺骗靶机10.211.55.14，让它误觉得Kali攻击机10.211.55.10是网关10.211.55.1）：
  
• 依次选择工具栏View->Connections查看和被监听靶机之间的全部链接信息：
  
• 依次选择工具栏Plugins—>Manage the plugins，选择DNS_spoof插件，*表示被选中：
  
  
• 选择工具栏Start->Start sniffing开始嗅探：
  
• 此时在靶机中的cmd输入命令ping www.cnblogs.com会发现解析的地址是Kali的IP：
  

• 在Kali上能够看到，在DNS已经成功欺骗时，全部会话被转移到了攻击者的主机，而不是真正的博客园服务器！！
  

• 本次DNS欺骗攻击还能够用ettercap的命令行版本完成（感受这回用命令行要比界面操做简单的多得多啊）！在配置完etter.dns以后，只需输入以下命令便可完成欺骗：

  ettercap -T -q -i eth0 -P dns_spoof -M arp // //

  各参数及其含义以下：

  • -P：使用插件（这里咱们使用的是dns_spoof）
  • -T：使用基于文本界面
  • -q：启动安静模式（不回显的意思）
  • -M：启动ARP欺骗攻击
  • // //：表明欺骗整个子网网络
  • -i eth0：使用特定的接口eth0执行dns欺骗攻击

返回目录

3 利用DNS spoof引导特定访问到冒名网站

• 结合应用以上两种技术，下面咱们用DNS spoof引导特定访问钓鱼网站。
• 为了利用DNS spoof将靶机引导到咱们的钓鱼网站，这里假设咱们的钓鱼网站是学校教务信息网的登陆页面，先利用第一个实验中的步骤先克隆一个登陆页面，而后再经过第二个实验实施DNS spoof，接着在靶机上输入博客园的网址www.cnblogs.com，就能够发现成功登陆了钓鱼网站同时记录下用户名和密码：
  

返回目录

实验总结与体会

  DNS欺骗是一种很是危险的攻击，由于攻击者能够利用ettercap的dns_spoof插件和其余工具执行攻击，最终，攻击者可使用一个社会工程工具包（如SET）来执行攻击去控制受害者的主机。想象一下这是多容易，经过社会工程工具包和DNS欺骗技术你所须要作的仅仅就是配置你的社会工程工具包和你的IP清单，制做像百度同样的网站欺骗域名到你的IP地址上。当受害者打开www.baidu.com，你的攻击将使它访问你的IP，以后创建一个远程的会话。
  怎么说呢，仍是那句话，遇事多留心、常疑问，提升防骗意识，才能立于不(bei)败(pian)之地！

返回目录

参考资料

• setoolkit 制做钓鱼网页 - 金牛小子 - 博客园
• Setoolkit社会工程学工具包 - CSDN博客
• 某《魔鬼训练营》读书笔记：setoolkit克隆网站
• DNS欺骗原理及工做工程分析 - CSDN博客
• Exploitation with Social Engineering Toolkit SET - AirCrk - 博客园
• DNS欺骗是什么？演示DNS欺骗攻击
• ettercap局域网内DNS欺骗(隔壁的哥们轻一点 ...)

返回目录