20145215《網絡對抗》Exp7 網絡欺詐技術防範

20145215《網絡對抗》Exp7 網絡欺詐技術防範

基礎問題回答

1. 一般在什麼場景下容易受到DNS spoof攻擊？
   • 在同一局域網下比較容易受到DNS spoof攻擊，攻擊者能夠冒充域名服務器，來發送僞造的數據包，從而修改目標主機的DNS緩存表，達到DNS欺騙的目的；
   • 連公共場合的免費WiFi也容易受到攻擊，尤爲是那種不須要輸入密碼直接就能夠鏈接的更加可疑。
2. 在平常生活工做中如何防範以上兩攻擊方法？
   • 能夠將IP地址和MAC地址進行綁定，不少時候DNS欺騙攻擊是以ARP欺騙爲開端的，因此將網關的IP地址和MAC地址靜態綁定在一塊兒，能夠防範ARP欺騙，進而放止DNS spoof攻擊；
   • 直接使用IP登陸網站，這種是最安全的，可是實際操做起來太麻煩，沒有人會去記一個網站的IP地址；
   • 對於冒名網站，要作到不隨便點來路不明的連接，或者在點以前能夠先觀察一下域名，查看其是否存在異常。

實踐內容

實驗環境

• 攻擊機：Kali
• 靶機： windows XP SP3(English)

目錄

• 應用SET工具創建冒名網站
• ettercap DNS spoof
• 用DNS spoof引導特定訪問到冒名網站

應用SET工具創建冒名網站

1. 要讓冒名網站在別的主機上也能看到，須要開啓本機的Apache服務，而且要將Apache服務的默認端口改成80，先在kali中使用netstat -tupln |grep 80指令查看80端口是否被佔用，如圖所示是我以前打開的Apache服務，若是有其餘服務在運行的話，用kill+進程ID殺死該進程：
   

2. 使用sudo vi /etc/apache2/ports.conf指令修改Apache的端口配置文件，如圖所示，將端口改成80：
   

3. 輸入命令apachectl start開啓Apache服務，因爲我以前已經打開了，這裏就不重複開啓了，接着按Ctrl+Shift+T打開一個新的終端窗口，輸入setoolkit打開SET工具：
   

4. 選擇1進行社會工程學攻擊：
   

5. 接着選擇2即釣魚網站攻擊向量：
   

6. 選擇3即登陸密碼截取攻擊：
   

7. 選擇2進行克隆網站：
   

8. 接着輸入攻擊機的IP地址，也就是kali的IP地址：
   

9. 按照提示輸入要克隆的url以後，用戶登陸密碼截取網頁已經在攻擊機的80端口上準備就緒，就等「魚兒」上鉤了：
   

10. 固然，爲了可以更好的迷惑別人，咱們不能直接將IP地址發給對方，須要對其進行必定的假裝，能夠找一個短網址生成器，將咱們的IP地址變成一串短網址：
    

11. 將獲得的假裝地址在靶機的瀏覽器中打開，最後會出現某個教務網站的登陸頁面：
    

12. 接着在網站上輸入用戶名、密碼和驗證碼就會被SET工具記錄下來，有多少個用戶輸入就會記錄多少：
    

關於QQ郵箱的用戶名和密碼獲取不到的問題

1. 以前看到不少同窗的博客說克隆QQ郵箱的登陸頁面抓不到信息，因而我就去試了一下，果真啥也沒抓到，查看了/var/www/html目錄下的幾個文件，首先是post.php文件，比較簡單，主要就是一個file_put_contents函數，就是把抓到的內容寫到txt文件裏：
   

2. 接着看了一下咱們克隆的QQ郵箱的登陸頁面index.html，咱們都知道通常向服務器發送數據都是經過表單提交的，上面作的教務網站的登陸頁面就是直接用form提交的，後面查了一下setoolkit也是使用的表單提交數據，因而我先看了下index.html源代碼裏的form：
   

3. 發現不太對啊，爲何沒有提交數據的輸入框？後面找了一下，發現它作了一個iframe，在裏面嵌套了一個url連接：
   

4. 咱們打開這個連接看看裏面到底是啥，驚奇的發現原來這纔是真正的登陸頁面：
   

5. 難怪咱們以前沒法抓到用戶名和密碼，QQ郵箱並非直接經過form表單來提交數據，而是在登陸頁面中又嵌套了另外一個真正的登陸頁面，而那個界面纔是真正用來向服務器提交數據的。這樣看來應該是要在這裏作文章了，以後我想用這個頁面的url連接進行克隆，發現克隆不下來，看樣子騰訊在對網站的安全性方面考慮的仍是比較周全。

ettercap DNS spoof

1. 先使用指令ifconfig eth0 promisc將kali網卡改成混雜模式；

2. 輸入命令vi /etc/ettercap/etter.dns對DNS緩存表進行修改，如圖所示，我添加了一條對博客園網站的DNS記錄，圖中的IP地址是個人kali主機的IP：
   

3. 輸入ettercap -G指令，開啓ettercap，會自動彈出來一個ettercap的可視化界面，點擊工具欄中的Sniff——>unified sniffing，而後在彈出的界面中選擇eth0->ok，即監聽eth0網卡：
   

4. 在工具欄中的Hosts下先點擊Scan for hosts掃描子網，再點擊Hosts list查看存活主機，將kali網關的IP添加到target1，靶機IP添加到target2
   

5. 選擇Plugins—>Manage the plugins，在衆多插件中選擇DNS欺騙的插件：
   

6. 而後點擊左上角的start選項開始嗅探，此時在靶機中用命令行ping www.cnblogs.com會發現解析的地址是咱們kali的IP地址：
   

7. 此時在ettercap上也成功捕獲一條訪問記錄：
   

用DNS spoof引導特定訪問到冒名網站

1. 爲了利用DNS欺騙將靶機引導到咱們的冒名網站，這裏假設咱們的冒名網站是某教務網的登陸頁面，先利用第一個實驗中的步驟先克隆一個登陸頁面，而後再經過第二個實驗實施DNS欺騙，接着在靶機上輸入博客園的網址www.cnblogs.com，能夠發現成功登陸了咱們的冒名網站：
   

2. 當用戶輸入用戶名和密碼後，咱們也能記錄下來：
   

實驗總結與體會

• 此次實驗其實挺容易聯想到咱們的現實生活，咱們日常生活中就常常收到陌生人發來的各類各樣的連接，還有一些是QQ好友被盜號以後，盜號的人給你發的連接說是裏面有什麼上次出去玩的合照啊什麼的，這些連接裏面要否則就是包含病毒，要麼就是一個釣魚網站，當你點進去以後誘惑你輸入各類信息，最後盜走你的帳號密碼。這說明咱們平時仍是要提升一些警戒性，對於一些陌生的連接千萬不要去點。
• 還有一點就是目前有不少釣魚的WiFi，所以，當咱們在公共場合碰到一些免費wifi時千萬不要去連，它能夠監聽到你傳出的全部數據包，特別是當你使用這種wifi登陸一些網站時，它很輕易的就能夠竊取你的帳戶密碼，因此總的來講仍是要提升本身的安全意識，特別是通過這麼屢次實驗後，咱們對不少攻擊的原理也有了必定的瞭解，防範起來應該也會更加容易。