2018-2019 2 20165203 《網絡對抗技術》Exp7 網絡欺詐防範

2018-2019 2 20165203 《網絡對抗技術》Exp7 網絡欺詐防範

實驗目的

本實踐的目標理解經常使用網絡欺詐背後的原理，以提升防範意識，並提出具體防範方法。

實驗內容

（1）簡單應用SET工具創建冒名網站 （1分）

（2）ettercap DNS spoof （1分）

（3）結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站。（1.5分）

（4）請勿使用外部網站作實驗

基礎知識問答

1. 一般在什麼場景下容易受到DNS spoof攻擊

自我感受在同一局域網下、在同一網段下或在公共網絡下，攻擊者修改DNS緩存表達到DNS欺騙的目的

1. 在平常生活中如何防範以上兩種攻擊方法？

• 不要亂連不明的Wifi，不亂點開不明的連接
• 或者說，及時給DNS服務器軟件打補丁，避免被不法分子用DNS欺騙攻擊。

知識儲備

DNS

• DNS即Domain Name System,，域名系統以分佈數據庫的形式將域名和IP地址相互轉換。
• DNS協議即域名解析協議，是用來解析域名的。有了DNS咱們就不須要再記住煩人的IP地址，用相對好記的域名就能夠對服務器進行訪問，即便服務器更換地址，咱們依舊能夠經過域名訪問該服務器，這樣可以使咱們更方便地訪問互聯網。

DNS spoof(DNS欺騙)

• 原理：DNS欺騙是一種以中間人攻擊的形式，它是攻擊者冒充域名服務器的一種欺騙行爲。攻擊者一般冒充服務器，把查詢的IP地址設爲攻擊者的IP地址，這樣的話，用戶上網就只能看到攻擊者的主頁了，而不是用戶想要看到的網頁。

• 防範：DNS欺騙攻擊是很難防護的，由於這種攻擊大多數本質都是被動的。一般狀況下，除非發生欺騙攻擊，不然你不可能知道你的DNS已經被欺騙，只是你打開的網頁與你想要看到的網頁有所不一樣。在不少針對性的攻擊中，用戶都沒法知道本身已經將網上銀行賬號信息輸入到錯誤的網址，直到接到銀行的電話告知其賬號已購買某某高價商品時用戶纔會知道。也就是說，在抵禦這種類型攻擊方面仍是有跡可循：
• • 保護內部設備： 像這樣的攻擊大多數都是從網絡內部執行攻擊的，若是你的網絡設備很安全，那麼那些感染的主機就很難向你的設備發動欺騙攻擊。
• • 不要依賴DNS：在高度敏感和安全的系統，你一般不會在這些系統上瀏覽網頁，最後不要使用DNS。若是你有軟件依賴於主機名來運行，那麼能夠在設備主機文件裏手動指定。
• • 使用入侵檢測系統： 只要正確部署和配置，使用入侵檢測系統就能夠檢測出大部分形式的ARP緩存中毒攻擊和DNS欺騙攻擊。
• • 使用DNSSEC： DNSSEC是替代DNS的更好選擇，它使用的是數字前面DNS記錄來確保查詢響應的有效性，DNSSEC如今尚未普遍運用，可是已被公認爲是DNS的將來方向，也正是如此，美國國防部已經要求全部MIL和GOV域名都必須開始使用DNSSEC。

Set工具

• 定義：set(社會工程學工具包)是一個開源的、Python驅動的社會工程學滲透測試工具。利用人們的好奇心、信任、貪婪及一些愚蠢的錯誤，攻擊人們自身存在的弱點。
• 功能：傳遞攻擊載荷到目標系統，收集目標系統數據，建立持久後門，進行中間人攻擊等。
• 簡單使用過程在實踐過程記錄中有具體體現

實踐過程記錄

簡單應用SET工具創建冒名網站

• 輸入命令sudo vi /etc/apache2/ports.conf修改Apache的端口文件，將端口改成http對應的80號端口

修改後按esc鍵 -> :wq保存退出

• 使用netstat -tupln |grep 80查看80端口是否被佔用。查看了一下，有一個pid=1807的進程佔用了80端口。因而，我使用kill 1807殺死該進程或kill -s 9 1807強制殺死進程。

• 開啓Apache服務：輸入systemctl start apache2

• 輸入setoolkit開啓SET工具。

• 選擇1）Social-Engineering Attacks（社會工程學攻擊）

• 選擇2) Website Attack Vectors（釣魚網站攻擊向量）

• 選擇3) Credential Harvester Attack Method(登陸密碼截取攻擊)

• 選擇2) Site Cloner(克隆網站)

• 輸入攻擊機Kali的IP地址：192.168.154.156（可使用網址縮短改變網址來迷惑靶機

• 輸入一個有須要登陸的url（被克隆的url)

• 出現提示Do you want to attempt to disable Apache?時，選擇y

• 在靶機瀏覽器地址欄中輸入攻擊機Kali的IP地址（192.168.154.156）訪問，攻擊機這邊收到鏈接提示，如圖所示

• 在靶機輸入（可能有誤的）用戶名和密碼，攻擊機這邊可所有獲取，是否是很可怕呢？設想若是是銀行卡和密碼的話，細思極恐。

• 爲了達到更好的隱蔽的效果，咱們能夠利用網址縮短地址來進行縮短，如圖所示，在空白欄中輸入所要縮短的地址，點擊生成就OK。

ettercap DNS spoof

• 輸入ifconfig eth0 promisc將Kali網卡改成混雜模式
• 輸入vi /etc/ettercap/etter.dns將DNS緩存表進行修改，按i鍵添加幾條對網站和IP的DNS記錄，也就是構造虛假的域名和IP的對應關係。

• 開啓ettercap：輸入ettercap -G自動彈出ettercap的可視化界面

• 點擊工具欄中的Sniff -> unified sniffing(嗅探全部)，在彈出的界面中選擇eth0後點擊肯定(即監聽eth0網卡)

• 點擊工具欄中的Hosts -> Scan for hosts掃描子網，再點擊Hosts list查看存活主機，將網關IP添加到target 1，靶機IP添加到target2。

• 點擊工具欄中的Flugins -> Manage the plugins,雙擊dns_spoof，選擇DNS欺騙的插件。

• 點擊左上角的Start開始嗅探，此時在靶機中用命令行ping www.mosoteach.cn和ping www.cnblogs.com會發現解析地址是攻擊機kali的IP地址

• 此時在ettercap上也成功捕獲到訪問記錄

結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站

• 首先，按照任務一的步驟克隆一個登錄頁面，跳轉成功

• 經過任務二實施DNS欺騙，此時在靶機輸入網址www.mosoteach.cn能夠成功訪問咱們的冒名網站

• 以後，從新開啓setoolkit停在正在捕獲處（注意檢查80端口是否被佔用），從新打開ettercap開始DNS欺騙，靶機中輸入網址www.mosoteach.cn能夠發現捕獲到記錄。

實驗中遇到的問題及解決方法

Q1：在任務一中等待收到的鏈接提示時，發現一直卡在某處不動。

A1：後來發現，本身沒有輸入systemctl start apache2打開apache。

Q2：在任務二中，使用ettercap進行DNS欺騙時，發現靶機ping以後並無變化。

A2：後來發現，本身的Kali攻擊機的網關地址爲192.168.154.2，把該地址填入target 1，你們能夠參考如何在Linux中查看網關IP來查詢網關。

實驗感想

本次實驗相對簡單，可是也讓我瞭解到原來在DNS欺騙中不法分子獲取帳號密碼是很是容易的，這也讓我認識到了生活中信息安全的重要性，從此要多多增強信息安全防範意識。