20222408 2021-2022-2 《网络与系统攻防技术》实验七实验报告

1.实验内容

1.1实验内容简述

（1）应用SET工具建立冒名网站。
（2）利用ettercap完成DNS欺骗攻击。
（3）结合应用两种技术，使被攻击者会通过域名访问到冒名网站。
（4）结合攻击过程，提出具体防范方法。

1.2学习内容简述

（1）学习SET工具和ettercap工具的使用。
（2）理解ARP污染、DNS欺骗攻击的原理和具体过程。
（3）理解钓鱼网站的原理，了解有效防范措施。

2.实验过程

2.1简单应用SET工具建立冒名网站

SET工具，全称Social-Engineer Toolkit（社会工程学工具集），是一款专门设计用于执行社会工程学攻击的开源渗透测试框架。

使用命令setoolkit打开SET工具。

可以看到显示了很多选项，这些选项的含义如下：

• Social-Engineering Attacks：社会工程学攻击，指利用人类心理和社会行为学原理进行的网络攻击。
• Penetration Testing (Fast-Track)：快速追踪渗透测试，一种快速评估计算机系统、网络或Web应用安全性的方法。
• Third Party Modules：第三方模块，指用于扩展或增强软件功能的外部插件或组件。
• Update the Social-Engineer Toolkit：更新社会工程学工具包，以确保其包含最新的攻击模拟功能和安全性修复。
• Update SET configuration：更新SET的配置文件，可能涉及全局设置或默认设置的修改，以适应新的攻击场景或需求。
• Help, Credits, and About：帮助、致谢和关于信息。

这里选择第1个。

这些子选项的含义如下：

• Spear-Phishing Attack Vectors：鱼叉式网络钓鱼攻击向量，指针对特定个体或组织进行精准钓鱼攻击的方法。
• Website Attack Vectors：网页攻击向量，通常涉及创建钓鱼网站以窃取用户凭据或执行其他恶意活动。
• Infectious Media Generator：感染式媒介生成器，用于创建带有恶意内容的USB驱动器或其他可移动媒体，以便在插入时感染目标系统。
• Create a Payload and Listener：创建有效载荷和监听器，用于生成和监听恶意代码，以便在目标系统上执行恶意活动。
• Mass Mailer Attack：海量邮件攻击，通过大量发送垃圾邮件、恶意邮件或含有病毒的邮件，以达到攻击效果。
• Arduino-Based Attack Vector：基于Arduino的硬件攻击向量，利用Arduino等开源硬件平台构建恶意设备或工具进行攻击。
• Wireless Access Point Attack Vector：无线热点攻击向量，涉及利用无线接入点的漏洞进行攻击，以获取对网络的访问权限。
• QRCode Generator Attack Vector：二维码攻击向量，用于生成包含恶意链接的二维码，诱导用户扫描并执行恶意操作。
• Powershell Attack Vectors：Powershell攻击向量，利用Powershell脚本执行恶意代码，以实现对目标系统的控制或破坏。
• Third Party Modules：第三方模块，指集成到社会工程学工具包（如SET）中的其他攻击模块或插件，以扩展其功能。

这里选择第2个。

这些子选项的含义如下：

• Java Applet Attack Method：利用Java小程序中的漏洞执行恶意代码，进行攻击。
• Metasploit Browser Exploit Method：使用Metasploit框架中的浏览器漏洞利用方法，远程控制或攻击目标浏览器。
• Credential Harvester Attack Method：通过创建虚假的登录页面或钓鱼网站，收集用户的凭证信息。
• Tabnabbing Attack Method：一种网络钓鱼攻击手法，通过改变用户浏览网页的标签及接口，诱导用户输入敏感信息。
• Web Jacking Attack Method：顶网攻击方法，通过劫持网站或篡改其内容，诱骗用户执行恶意操作或输入敏感信息。
• Multi-Attack Web Method：多点Web攻击方法，综合运用多种技术手段对目标网站进行攻击。
• HTA Attack Method：利用HTA文件的特性，执行恶意代码或脚本进行攻击。

这里选择第3个。
接下来需要输入IP地址和被克隆的网址。输入IP地址时可以直接回车，选用虚拟机的IP地址；被克隆的网址选用 http://tykd.com/User/reg/ ，天翼快递的注册界面。

这时在局域网内输入192.168.112.161即可访问克隆网站。

原本的界面如下图所示。由此可见，单从内容方面来说，克隆网站已经可以以假乱真了。

在克隆网站中输入注册信息并提交。

回到虚拟机，可以看到电话、邮箱、密码和国家信息。由于字符集问题，中文变成了乱码。

2.2ettercap DNS spoof

ettercap是一个功能强大的网络嗅探和中间人攻击工具，主要用于网络安全测试和分析。

利用命令ifcondig eth0 promisc将网卡改成混杂模式，从而可以接收任意数据包。

利用命令vi /etc/ettercap/etter.dns开始编辑文件，这是ettercap工具用于定义DNS记录和进行DNS欺骗攻击的配置文件。

在文件中添加两条DNS记录：
www.baidu.com A 192.168.112.161
*.baidu.com A 192.168.112.161

利用命令route -n查看网关，得到IP地址为192.168.112.2。

利用命令ettercap -G打开工具的命令行界面。

点击右上角的√，再点击左上角的放大镜图标，扫描局域网得到存活主机，其中包含靶机Windows Server 2016的ip地址192.168.112.146，网关的IP地址192.168.112.2。

将Windows Server 2016加入target1，将网关加入target2。

点击右上角的地球图标打开MITM菜单，点击ARP poisoning，再点击ok。

点击最右上角的选项，打开ettercap菜单，选择manage Plugins，双击开启dns_spoof。

在Windows Server 2016中ping www.baidu.com，发现这一域名对应的是kali虚拟机的IP地址，说明DNS欺骗攻击成功。

2.3结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

再重复2.1的步骤，打开setoolkit，依次选择第1、2、3、2个选项，开始克隆网站，依旧选择同样的网站 http://tykd.com/User/reg/ 。

再次修改/etc/ettercap/etter.dns文件，添加三条记录：
tykd.com A 192.168.112.161
*.tykd.com A 192.168.112.161
www.tykd.com A 192.168.112.161

Ctrl+C关闭ettercap菜单，再次使用命令ettercap -G打开，使用与2.2同样的步骤，先得到网关、攻击对象的IP地址，设置为target，再攻击ARP缓存表，最后双击开启dns_spoof。

在Windows XP 中访问www.tykd.com，其实访问的是靶机提供的克隆网站。这一克隆网站有了域名，更具有欺骗性。

然而网站有一些样式信息无法得到，应该是DNS条目被修改、网关地址相关的ARP条目被修改导致的。

2.4提出具体防范方法

对于网络管理员：

• 实施严格的安全配置：为网络设备配置安全策略，明确禁止来自未经授权端口的ARP流量。
• 部署流量监控与分析工具：安装先进的流量分析工具，实时监控网络流量，并结合IPS/IDS（入侵预防/检测系统）来识别异常活动。当检测到大量异常的ARP请求或应答时，应立即视为ARP欺骗的潜在迹象，并采取相应的应对措施。
• 利用静态ARP表进行防御：构建并维护一个静态ARP表，确保正确的MAC地址与IP地址的对应关系。这是防御ARP攻击的一种简单而高效的方法。
• 加强DNS系统的安全性：通过实施DNSSEC（域名系统安全扩展），为DNS查询和响应提供数据完整性和真实性验证。这有助于防止DNS欺骗攻击，确保用户能够安全地访问正确的网站。
• 定期更新与升级：确保网络设备、安全软件和操作系统都保持最新版本，以修复已知的安全漏洞，并启用最新的安全功能。

对于用户：

• 提高网络安全意识：在访问网站时，始终保持警惕，注意观察网站的域名、样式和内容是否与平时一致。任何微小的差异都可能是钓鱼网站的迹象。
• 避免在不安全的网站上输入敏感信息：若网站没有可信的安全证书，避免输入个人信息、银行账户密码或其他敏感数据。
• 谨慎点击链接：避免点击来路不明的链接，特别是那些通过电子邮件、社交媒体发送的链接。这些链接可能会引导用户访问恶意网站，从而遭受网络攻击。
• 使用安全的浏览器和插件：选择知名的、经过安全认证的浏览器和插件，并定期更新它们以修复安全漏洞。

3.问题及解决方案

• 问题1：在克隆网站时，有时候会直接退出，回到菜单。
• 问题1解决方案：重新打开一个终端，运行setoolkit工具即可。
• 问题2：这次实验开始前，我发现虚拟机又突然连不上网了。
• 问题2解决方案：把虚拟机的网络适配器从桥接模式换成了NAT模式就可以联网了。很奇怪，每次都会因为各种原因莫名其妙地断网。
  
• 问题3：在进行2.3时，我一开始没有关闭ettercap，直接更改了/etc/ettercap/etter.dns文件，结果更改不起作用。
• 问题3解决方案：重新打开ettercap，即可使配置文件更改生效。

4.学习感悟、思考等

本次实验的主要内容为学习SET工具和ettercap工具的使用方式，并应用它们实现一次钓鱼网站的制作。
在实验过程中，我首先应用SET工具，通过简单的配置流程建立了一个冒名网站。随后，我利用ettercap工具进行了ARP污染和DNS欺骗攻击，通过修改DNS记录，用户的访问被成功重定向到了我建立的冒名网站上。这一过程让我更直观地理解了钓鱼网站背后的原理，也让我深刻意识到，随着网络攻击工具的发展，实现一个钓鱼网站等网络攻击操作变得并不困难。面对这些无处不在的网络攻击威胁，我们需要提高警惕，应用各种措施加以应对。

参考资料

• 实验七 网络欺诈与防范