2018-2019-2 20165330《网络对抗技术》Exp7 网络欺诈防范

目录

• 基础问题
• 相关知识
• 实验目的
• 实验内容
• 实验步骤
• 实验中遇到的问题
• 实验总结与体会

---

实验目的

• 本实践的目标理解经常使用网络欺诈背后的原理，以提升防范意识，并提出具体防范方法。

返回目录

---

实验内容

• 简单应用SET工具创建冒名网站
• ettercap DNS spoof
• 结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

返回目录

---

基础问题

• 一般在什么场景下容易受到DNS spoof攻击

  • 在同一局域网下比较容易受到DNS spoof攻击，攻击者能够冒充域名服务器，来发送伪造的数据包，从而修改目标主机的DNS缓存表，达到DNS欺骗的目的。
  • 还有链接公共场合一些不须要输入密码的WiFi也会为这种攻击创造条件。

• 在平常生活工做中如何防范以上两攻击方法

  • 使用最新版本的DNS服务器软件，并及时安装补丁；
  • 能够将IP地址和MAC地址进行绑定，不少时候DNS欺骗攻击是以ARP欺骗为开端的，因此将网关的IP地址和MAC地址静态绑定在一块儿，能够防范ARP欺骗，进而放止DNS spoof攻击。
  • 使用入侵检测系统：只要正确部署和配置，使用入侵检测系统就能够检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击
  • 不乱连WiFi，不乱点一些网站及不明连接，从而给攻击者可乘之机。

返回目录

---

相关知识

• DNS欺骗
  • 原理：攻击者冒充域名服务器，而后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了。
  • DNS欺骗其实并非真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了
  • 预防：DNS欺骗攻击是很难防护的，由于这种攻击大多数本质都是被动的。一般状况下，除非发生欺骗攻击，不然你不可能知道你的DNS已经被欺骗，只是你打开的网页与你想要看到的网页有所不一样。
    • 保护内部设备
    • 不要依赖DNS：在高度敏感和安全的系统，你一般不会在这些系统上浏览网页，最后不要使用DNS。若是你有软件依赖于主机名来运行，那么能够在设备主机文件里手动指定。
    • 使用入侵检测系统：只要正确部署和配置，使用入侵检测系统就能够检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。
    • 使用DNSSEC：DNSSEC使用的是数字前面DNS记录来确保查询响应的有效性，如今尚未普遍运用，但已被公认为是DNS的将来方向。
• SET工具
  • 社会工程学工具包（SET）是一个开源的、Python驱动的社会工程学渗透测试工具。这套工具包由David Kenned设计，并且已经成为业界部署实施社会工程学攻击的标准。
  • SET利用人们的好奇心、信任、贪婪及一些愚蠢的错误，攻击人们自身存在的弱点。使用SET能够传递攻击载荷到目标系统，收集目标系统数据，建立持久后门，进行中间人攻击等。
  • 简单使用
    • 启动SET：setoolkit
    • 进入会出现下列选项：
      
    • 选择社会工程学攻击后会出现下列选项
      
  • SET工具默认安装在/usr/share/set目录下
  • 更多可参考使用社会工程学工具包（SET）
• EtterCap
  • EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具。它具备动态链接嗅探、动态内容过滤和许多其余有趣的技巧。它支持对许多协议的主动和被动分析，并包含许多用于网络和主机分析的特性。
  • kali 2.0内置有ettercap，可用过ettercap -v查看版本信息
  • 图形化界面：ettercap -G
  • 选择sniffer模式
    
  • 网卡选择默认eth0，点击确认可开始嗅探
  • 菜单处Hosts-Hosts List可查看嗅探到的主机ip地址、mac地址
  • 菜单处Mitm可选择攻击方式，包括arp 欺骗、DHCP洪泛攻击等
  • 菜单出view中可查看嗅探到的通讯信息
  • 更多可参考Kali 2.0 下Ettercap 使用教程+DNS欺骗攻击

返回目录

---

实验步骤

简单应用SET工具创建冒名网站

• 使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件，将端口改成http对应的80号端口
  
  修改后esc键-:wq保存退出
• 使用netstat -tupln |grep 80查看80端口是否被占用。若是有，使用kill+进程号杀死该进程或使用kill -s 9 进程号强制杀死进程
  
  上图显示为未被占用
• 开启Apache服务：systemctl start apache2
• 开启SET工具：setoolkit
• 选择1：Social-Engineering Attacks（社会工程学攻击）
  
• 选择2：Website Attack Vectors（钓鱼网站攻击向量）
  
• 选择3：:Credential Harvester Attack Method`（即登陆密码截取攻击）
  
• 选择2：Site Cloner克隆网站
  
• 输入攻击机kali的IP地址：192.168.43.4（咱们可以使用网址缩短改变网址来迷惑靶机）
  
• 咱们输入一个有须要登录的url（即被克隆的url）
  
• 提示Do you want to attempt to disable Apache?时选择y
  
• 在靶机浏览器地址栏中输入攻击机kali的IP地址访问，攻击机这边即收到链接提示
  
• 在靶机输入（多是错误的）用户名和密码，攻击机可所有获取
  

ettercap DNS spoof

• 使用指令ifconfig eth0 promisc将kali网卡改成混杂模式
• 输入vi /etc/ettercap/etter.dns对DNS缓存表进行修改，按i键添加几条对网站和IP的DNS记录
  
• 开启ettercap：ettercap -G（自动弹出ettercap的可视化界面）
• 点击工具栏中的Sniff—unified sniffing（嗅探全部），在弹出的界面中选择eth0后点击肯定（即监听eth0网卡）
  

• 点击工具栏中的Hosts-Scan for hosts扫描子网，再点击Hosts list查看存活主机，将网关IP添加到target1，靶机IP添加到target2
  

  注意：这里的网关IP须要在靶机cmd中输入ipconfig确认，在个人win7虚拟机中网关为192.168.38.2，win10主机却为192.168.38.1，将target1换为win7的网关后，ping命令出现的就是攻击机kali的IP了！

• 点击工具栏中的Plugins—Manage the plugins，双击dns_spoof选择DNS欺骗的插件
  
• 点击左上角的Start开始嗅探，此时在靶机中用命令行ping www.mosoteach.cn会发现解析的地址是攻击机kali的IP地址
  

• 此时在ettercap上也成功捕获到访问记录
  

结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

• 综合使用以上两种技术
• 首先按照实验一的步骤克隆一个登陆页面，跳转成功
  
  
• 经过实验二实施DNS欺骗，此时在靶机输入网址www.mosoteach.cn能够发现成功访问咱们的冒名网站
  
• 以后咱们从新开启setoolkit停在正在捕获处（注意检查80端口是否被占用），从新打开ettercap开始DNS欺骗，靶机中输入网址www.mosoteach.cn能够发现捕获到记录
  

返回目录

---

实验中遇到的问题

• 在使用setoolkit克隆网站时出现Address already in use
  

  解决办法：ctrl+z退出当前命令，使用netstat -tupln |grep 80查看80端口，使用kill+进程号或kill -s 9 进程号杀死进程, 在systemctl start apache2开启Apache服务，最后进入setoolkit便可。

• 在使用ettercap嗅探时并未出现网关地址

  解决办法：一开始个人kali为桥接模式，改成NAT模式后就可扫描出，以此靶机使用NAT模式的win7虚拟机。

• 使用ettercap进行DNS欺骗时，靶机ping后并无发生变化。

  解决办法：在靶机的cmd中输入ipconfig确认网关的IP地址，发现个人win7虚拟机为192.168.38.2，win10主机却为192.168.38.1，随后将target1换为win7的网关后，ping命令出现的就是攻击机kali的IP了！
  

---

实验总结与体会

• 经过本次实验，在学习利用各类工具克隆网页，制做一个钓鱼网站，并将本身的IP假装，经过实践监控靶机的输入，获取用户名密码等信息，感受本身离成为真正的攻击者更进了一步，但与此同时，做为一个普通的用户，咱们也要多加防范这些钓鱼网站，以避免被非法获取我的信息。

参考资料

• 中间人攻击-DNS欺骗
• 使用社会工程学工具包（SET）
• Kali 2.0 下Ettercap 使用教程+DNS欺骗攻击