1.实验内容
本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有:
(1)简单应用SET工具建立冒名网站;
(2)ettercap DNS spoof;
(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
2.实验过程
2.1 简单应用SET工具建立冒名网站
攻击机kali的IP地址:172.20.10.128;靶机windows 7的IP地址:172.20.10.129
输入vim /etc/apache2/ports.conf看到apache默认的端口为80,所以默认采用http协议进行访问。
输入netstat -tupln |grep 80查看80端口占用情况,80端口被占用所以先关闭80端口的进程,避免搭建失败。
输入systemctl start apache2开启Apache2服务
输入setoolkit进入setoolkit工具
在出现的模块选择中输入1,选择Social-Engineering Attacks(社会工程学攻击)
在出现的模块选择中输入2,选择Website Attack Vectors(网络页面攻击钓鱼)
在出现的模块选择中输入3,选择Credential Harvester Attack Method(钓鱼网站攻击)
在出现的模块选择中输入1,选择Web Templates,进行经典的网页克隆。
输入监听主机ip为kali的ip或直接回车,在出现的选择中选择Google,克隆谷歌登录页面。
在windows 7靶机浏览器中输入kali的ip并访问,在登陆页面输入用户名和密码
在kali主机监听到了明文的用户名和密码
2.2 ettercap DNS spoof
攻击机kali的IP地址:172.20.10.128;靶机windows 7的IP地址:172.20.10.129;靶机windows xp的IP地址:172.20.10.130
可看到两台靶机的网关均为172.20.10.2
输入netstat -rn看到攻击机的网关也为172.20.10.2
输入ifconfig eth0 promisc将网卡eth0改为混杂模式,使其能够接收到所有的数据包。
输入vi /etc/ettercap/etter.dns进入DNS缓存表,输入www.baidu.com A 172.20.10.128向DNS缓存表添加目标网站百度的域名及kali攻击机的ip。
输入ettercap -G进入ettercap并对eth0开始监听。
点击Scan for hosts扫描子网。
点击Hosts list查看存活主机。可以看到两台靶机的ip地址及网关ip地址
将网关的IP添加到target1,将两个靶机IP添加到target2
点击MIML->ARP poisoning…
点击Plugins->Manage plugins,双击dns_spoof,启用DNS欺骗。
在两台靶机对www.baidu.com进行ping,发现其ip地址显示为kali攻击机的ip地址。
kali中看到欺骗信息。
2.3 结合应用两种技术,用DNS spoof引导特定访问到冒名网站
攻击机kali的IP地址:172.20.10.128;靶机windows server 2016的IP地址:172.20.10.131
按照2.1中步骤克隆mail.besti.edu.cn,直至图中输入2,选择Site Cloner(网站克隆)。
在windows server 2016靶机浏览器中输入mail.besti.edu.cn并访问,在登陆页面输入用户名和密码。
在kali主机看到172.20.10.131访问了克隆网站。看到了明文的用户名和加密后的密码。
在靶机输入ipconfig /flushdns刷新靶机的DNS缓存表。
按照2.2到在kali输入vi /etc/ettercap/etter.dns进入DNS缓存表步骤,输入mail.besti.edu.cn A 172.20.10.128向DNS缓存表添加目标网站的域名及kali攻击机的ip。
再继续按照2.2步骤进行。在靶机中ping mail.besti.edu.cn,发现目标网站ip地址显示为kali攻击机的ip地址。
3.问题及解决方案
-
问题1:想要克隆学信网出现错误,不能克隆。
-
问题1解决方案:更换想要克隆的网站。
-
问题2:在进行冒名网站的建立时,输入想要冒名的网站后有回到了前面的选模块步骤,重复几次并更换想冒名的网站仍然如此循环。后来又显示不能连接到端口80
- 问题2解决方案:apache默认的端口80被占用,关闭占用80端口的进程后恢复正常。
- 问题3:在开始DNS欺骗后ping www.baidu.com,发现还是正常的ip地址。
- 问题3解决方案:在查询资料查找原因期间再次进行ping,发现ip地址成功显示为了kali的ip地址。最开始的错误可能时没反应过来。
- 问题4:最初使用windows 7作为结合应用两种技术,用DNS spoof引导特定访问到冒名网站的靶机,但在进行访问mail.besti.edu.cn时显示网页上有错误,输入用户名和密码登录后在kali端并没有看到用户名和密码信息。查阅资料可能因为因为IE浏览器缺少js脚本文件或者版本不兼容。
- 问题4解决方案:更换windows server 2016作为靶机,成功获得用户名和密码。
4.具体防范方法
1.尽量访问使用HTTPS协议加密的网站,确保数据传输的安全性。
2.在公共无线网络上进行敏感操作时,使用VPN等加密技术保护数据传输安全。
3.仔细检查网址,避免访问来历不明的网站。注意查看网站的域名是否正确,避免点击来自未知来源的链接。
4.使用具有实时监控功能的防病毒软件,定期扫描系统以检测和清除恶意软件。
5.为网络设备配置安全策略,明确禁止来自未经授权端口的ARP流量。
6.使用强密码,并启用双因素认证(2FA),增加攻击者成功获取敏感信息的难度。
5.学习感悟、思考等
本次实验成功地在局域网内实现了网络欺骗,通过应用set工具建立冒名网站、实现DNS欺骗攻击,我对网络欺诈背后的原理有了更加深入的理解。同时我也感受到了set等工具在网络欺诈上的强大功能,通过简单的操作就可以看到用户名密码等信息,这提醒了我在真实的网络中要提高防范意识,避免遭受网络欺诈。
参考资料
- 社会工程攻击——setoolkit使用(含错误解决)
- kali ettercap 劫持dns 之路
