20145221高其_网络欺诈技术防范

20145221高其_网络欺诈技术防范

目录

• 实践目标
• URL攻击
• dns欺骗攻击与SET结合
• 总结

实践目标

• （1）简单应用SET工具创建冒名网站
• （2）ettercap DNS spoof
• （3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

URL攻击

实验内容

• 经过SET工具在本地主页搭建一个钓鱼网站，对钓鱼网站进行“域名”加工，诱导靶机点击访问，进而诱导靶机输入相应的帐户名和密码，本地经过SET工具截取相应的字段。

实验过程

Step1：设置SET访问端口

• 因为要将钓鱼网站挂在本机的http服务下，因此须要将SET工具的访问端口改成默认的80端口
• 经过指令：sudo vi /etc/apache2/ports.conf更改默认设置

Step2：关闭80端口的应用进程

• 为了让apache能接替80端口的使用，必须先关闭默认http的80端口的进程
• 查询80端口进程pid：netstat -tupln | grep 80，我这里查看到的是883
• 杀掉以前占用80端口的进程：kill 883
• 能够再次执行端口查看的指令，确认没有进程占用
• 打开apache服务：service apache2 start

Step3：打开set

• 执行指令打开set：setoolkit
• 选择1：社会工程学攻击
• 选择2：网页攻击媒介
• 选择3：钓鱼网站攻击
• 选择2：克隆网站Site clone
• 根据如下英文提示，输入攻击机IP：192.168.42.133
• 接下来输入要搭建网址的URL：XXX.XXX.XXX
• 看到以下提示表示钓鱼网站搭建成功，能够在kali攻击机下输入网址：127.0.0.1查看钓鱼网站是否设置成功，若是没有，考虑重启SET工具，再次观察便可

Step4：构建一个域名

• 若是发送一个IP供人点击，可能性较小，咱们能够假装成一个较为正常的域名
• http://short.php5developer.com网站能够帮咱们作到这样一点，在以下文本框中输入须要假装的IP地址，会自动生成一个域名
• 测试：在浏览器中输入地址：http://short.php5developer.com/cRt
  • 会发现有一个跳转提示，等待10秒后会接入Kali的IP地址
  • 能正常显示本身搭建的钓鱼网站，表示初步成功

Step5：上钩

• 经过靶机Win XP Sp3，访问域名
• 由于和正常网站如出一辙，因此当靶机不假思索的输入相应的用户名和密码后，在set工具下成功捕捉到了相关数据

存在问题

• 因为咱们不信任IP，因此构造了域名，但不清楚的域名也会引发怀疑，稍稍有点信息安全常识的就不会去点击该连接；
• 即使如此也会产生一个大问题，当你登陆到php5developer网站时，它会明显的提示你有跳转，并且会标出跳转的IP地址，也不利于攻击者IP的隐蔽，也达不到欺骗的效果，因此结合后文中的DNS SPOOF攻击，能在一个局域网下达到较为满意的结果。

dns欺骗攻击与SET结合

实验内容

• 经过DNS欺骗，将靶机IP链接到相应的攻击机和靶机共用的网关，进而访问kali的DNS缓存表，将用户诱导向本机IP，结合SET工具，捕获靶机提交到的POST包

实验过程

Step1：更改DNS缓存

• 在本地构造一个假的DNS缓存表，写入新的DNS缓存：www.qq.com A 192.168.42.133
• 开启混杂模式，便于监听整个局域网络的数据包
  • ifconfig eth0 promisc

Step2：开启调试ettercap

• 输入ettercap -G，开启ettercap，会自动弹出来一个ettercap的可视化界面
• 点击工具栏中的Sniff—>unified sniffing
• 以后会弹出界面，选择eth0->ok
• 在工具栏中的Hosts下点击扫描子网，并查看存活主机，前后执行指令：
  • Scan for hosts
  • Hosts list
• 将网关右键添加到target1，将靶机右键添加到target2
• 选择Plugins—>Manage the plugins，在众多plugins中选择DNS欺骗
• 而后点击左上角star选项，开始嗅探
• 提示：此时不出差错，便可在靶机上经过www.qq.com域名访问到kali的默认网页了

Step4：攻击机开启SET

• 此时开启SET工具，是为了能再一次利用其搭建的钓鱼网站，并能捕获POST信息，从而获得相应的用户名和密码
• 该步骤基本相似于实验任务1，在此再也不赘述过程
• 通过上述操做后，能够开始监听本机主页的变化了

Step5：上钩

• 不能否认，www.qq.com是一个访问不少的网站（注意：为了更加逼真，咱们能够将DNS中的域名直接设定为钓鱼网站原域名，这样用户不会有任何怀疑，为了避免透露钓鱼网站的真面目，此处用QQ代替）
• 当靶机用户登陆到网站：www.qq.com时，即会链接到kali默认主页（即钓鱼网站），又由于此时SET已经开启监听，因此当用户登陆QQ网站输入用户名和密码时，会被SET认认真真记录下来，而用户在输入时不会有任何察觉
• 为了区分第一次的图，本次将密码输入设为：hahaha
• 靶机图：能够看出URL都没变，一看就很是可信
• kali攻击机图：完美解惑密码

总结

一般在什么场景下容易受到DNS spoof攻击

• 同一局域网下，公共的热点容易受到DNS spoof攻击
  • 不须要密码的热点，等同于任何人均可以连上，这样的热点最危险
• 不在同一局域网下，也能够完成
  • 向客户端主机随机发送大量DNS响应数据报，命中率很低
  • 或者能够向DNS服务器发起拒绝服务攻击，太粗鲁，容易被发现
  • 固然也不排除向主机或者DNS服务器植入病毒后直接进行DNS欺骗这样的作法
• 因此常见有效的DNS spoof攻击就是在同一局域网下了

在平常生活工做中如何防范以上两攻击方法

• 对于不在同一局域网下的DNS spoof攻击
  • 这样的攻击范围每每是大范围的，受影响的用户涵盖整个该DNS服务器服务的主机，而这样的攻击动做很容易被网管发现，因此留意一下相关的新闻便可
  • 能够对DNS服务器提供相应的安全保障，配置合适的防火墙规则，抵御DOS攻击
• 对于在同一局域网下的DNS spoof攻击
  • 这种攻击我想说真的很难预防，就本次实践来讲，kali能够将用户常常访问的URL先克隆到本机主页，而后修改DNS缓存，当用户访问该URL时，能看见一个如出一辙的该URL界面，让用户误觉得登陆了正规的网站，不假思索的输入敏感信息
  • 就上面这一过程，不是检查域名的合法性就能够解决的，在设置好SET和DNS后，由于我并无诱导你输入某个连接，你输入的域名访问了你预期的网页，正常状况下你是不会怀疑该网页的真实性的，因此以通常的经验来讲真的很难预防
  • 但要是咱们能提升咱们的安全意识，也是有办法解决的，首先咱们能够禁用本地的DNS缓存，避免本身的DNS缓存被恶意窜改，而后，好像就没有而后了……由于kali根本就没有让你访问本身DNS缓存的机会，直接将全部会话经过ettercap工具转移到了kali的主机，直接用kali的DNS缓存，你有什么办法？我是用户的话，根本不知道访问的是kali的DNS缓存，我也很无奈啊！
  • 还有一种是经过IP访问，但我以为很不现实，没有人有记IP、查IP的习惯吧，实际中行不通…
  • 最后我以为仍是能够经过https来解决问题的，https协议所要解决的就是服务器认证的问题，要防护的就是有这样的钓鱼网站向用户欺瞒真实身份，因此如今绝大多数具备POST功能的网站都采用了https协议，当咱们访问这样的网站时，若是不能提供正确的数字证书，不能完成ssl握手协议，那该网站确定不可信，这一点在实际生活中应该仍是容易实现的。
  • 另外补充一点吧，若是你真的很担忧这样的事发生，你能够在经过域名访问时，先在cmd下先Ping一Ping，该过程会解析出此域名的IP，若是是个私有地址IP，请果断拒绝访问，确定是克隆网站，而且赶快去排查该IP的主机是谁，揪出这个坏蛋！他在嗅探你的同时，也暴露了他本身！

实验感想

• 本次实验作完，个人第一反应就是太厉害了，只要我能连入某一个局域网下，我就能够经过上述途径改变任何一个网站的访问，使得用户自主输入连接访问我预先设定的克隆网站，而后我就坐在电脑前等着信息就OK了；
• 因此啊，能别连的WIFI仍是不要轻易链接的好，若是必定要链接使用，也不要轻易主动的去访问某个连接，并输入敏感的信息，正常状况下，你是真的很难知道该网站有没有被克隆，可是也不用过于担忧，通常来讲如今不少软件与服务器的交互信息都是加了密的，即使被嗅探，也是没法很快解密出来的；
• 所要担忧的就是该局域网域名有没有被劫持，尽可能别经过域名访问，真的很危险！（预防方案参考前文）