20145221高其_網絡欺詐技術防範

20145221高其_網絡欺詐技術防範

目錄

• 實踐目標
• URL攻擊
• dns欺騙攻擊與SET結合
• 總結

實踐目標

• （1）簡單應用SET工具創建冒名網站
• （2）ettercap DNS spoof
• （3）結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站。

URL攻擊

實驗內容

• 經過SET工具在本地主頁搭建一個釣魚網站，對釣魚網站進行「域名」加工，誘導靶機點擊訪問，進而誘導靶機輸入相應的帳戶名和密碼，本地經過SET工具截取相應的字段。

實驗過程

Step1：設置SET訪問端口

• 因爲要將釣魚網站掛在本機的http服務下，因此須要將SET工具的訪問端口改成默認的80端口
• 經過指令：sudo vi /etc/apache2/ports.conf更改默認設置

Step2：關閉80端口的應用進程

• 爲了讓apache能接替80端口的使用，必須先關閉默認http的80端口的進程
• 查詢80端口進程pid：netstat -tupln | grep 80，我這裏查看到的是883
• 殺掉以前佔用80端口的進程：kill 883
• 能夠再次執行端口查看的指令，確認沒有進程佔用
• 打開apache服務：service apache2 start

Step3：打開set

• 執行指令打開set：setoolkit
• 選擇1：社會工程學攻擊
• 選擇2：網頁攻擊媒介
• 選擇3：釣魚網站攻擊
• 選擇2：克隆網站Site clone
• 根據如下英文提示，輸入攻擊機IP：192.168.42.133
• 接下來輸入要搭建網址的URL：XXX.XXX.XXX
• 看到以下提示表示釣魚網站搭建成功，能夠在kali攻擊機下輸入網址：127.0.0.1查看釣魚網站是否設置成功，若是沒有，考慮重啓SET工具，再次觀察便可

Step4：構建一個域名

• 若是發送一個IP供人點擊，可能性較小，咱們能夠假裝成一個較爲正常的域名
• http://short.php5developer.com網站能夠幫咱們作到這樣一點，在以下文本框中輸入須要假裝的IP地址，會自動生成一個域名
• 測試：在瀏覽器中輸入地址：http://short.php5developer.com/cRt
  • 會發現有一個跳轉提示，等待10秒後會接入Kali的IP地址
  • 能正常顯示本身搭建的釣魚網站，表示初步成功

Step5：上鉤

• 經過靶機Win XP Sp3，訪問域名
• 由於和正常網站如出一轍，因此當靶機不假思索的輸入相應的用戶名和密碼後，在set工具下成功捕捉到了相關數據

存在問題

• 因爲咱們不信任IP，因此構造了域名，但不清楚的域名也會引發懷疑，稍稍有點信息安全常識的就不會去點擊該連接；
• 即使如此也會產生一個大問題，當你登陸到php5developer網站時，它會明顯的提示你有跳轉，並且會標出跳轉的IP地址，也不利於攻擊者IP的隱蔽，也達不到欺騙的效果，因此結合後文中的DNS SPOOF攻擊，能在一個局域網下達到較爲滿意的結果。

dns欺騙攻擊與SET結合

實驗內容

• 經過DNS欺騙，將靶機IP鏈接到相應的攻擊機和靶機共用的網關，進而訪問kali的DNS緩存表，將用戶誘導向本機IP，結合SET工具，捕獲靶機提交到的POST包

實驗過程

Step1：更改DNS緩存

• 在本地構造一個假的DNS緩存表，寫入新的DNS緩存：www.qq.com A 192.168.42.133
• 開啓混雜模式，便於監聽整個局域網絡的數據包
  • ifconfig eth0 promisc

Step2：開啓調試ettercap

• 輸入ettercap -G，開啓ettercap，會自動彈出來一個ettercap的可視化界面
• 點擊工具欄中的Sniff—>unified sniffing
• 以後會彈出界面，選擇eth0->ok
• 在工具欄中的Hosts下點擊掃描子網，並查看存活主機，前後執行指令：
  • Scan for hosts
  • Hosts list
• 將網關右鍵添加到target1，將靶機右鍵添加到target2
• 選擇Plugins—>Manage the plugins，在衆多plugins中選擇DNS欺騙
• 而後點擊左上角star選項，開始嗅探
• 提示：此時不出差錯，便可在靶機上經過www.qq.com域名訪問到kali的默認網頁了

Step4：攻擊機開啓SET

• 此時開啓SET工具，是爲了能再一次利用其搭建的釣魚網站，並能捕獲POST信息，從而獲得相應的用戶名和密碼
• 該步驟基本相似於實驗任務1，在此再也不贅述過程
• 通過上述操做後，能夠開始監聽本機主頁的變化了

Step5：上鉤

• 不能否認，www.qq.com是一個訪問不少的網站（注意：爲了更加逼真，咱們能夠將DNS中的域名直接設定爲釣魚網站原域名，這樣用戶不會有任何懷疑，爲了避免透露釣魚網站的真面目，此處用QQ代替）
• 當靶機用戶登陸到網站：www.qq.com時，即會鏈接到kali默認主頁（即釣魚網站），又由於此時SET已經開啓監聽，因此當用戶登陸QQ網站輸入用戶名和密碼時，會被SET認認真真記錄下來，而用戶在輸入時不會有任何察覺
• 爲了區分第一次的圖，本次將密碼輸入設爲：hahaha
• 靶機圖：能夠看出URL都沒變，一看就很是可信
• kali攻擊機圖：完美解惑密碼

總結

一般在什麼場景下容易受到DNS spoof攻擊

• 同一局域網下，公共的熱點容易受到DNS spoof攻擊
  • 不須要密碼的熱點，等同於任何人均可以連上，這樣的熱點最危險
• 不在同一局域網下，也能夠完成
  • 向客戶端主機隨機發送大量DNS響應數據報，命中率很低
  • 或者能夠向DNS服務器發起拒絕服務攻擊，太粗魯，容易被發現
  • 固然也不排除向主機或者DNS服務器植入病毒後直接進行DNS欺騙這樣的作法
• 因此常見有效的DNS spoof攻擊就是在同一局域網下了

在平常生活工做中如何防範以上兩攻擊方法

• 對於不在同一局域網下的DNS spoof攻擊
  • 這樣的攻擊範圍每每是大範圍的，受影響的用戶涵蓋整個該DNS服務器服務的主機，而這樣的攻擊動做很容易被網管發現，因此留意一下相關的新聞便可
  • 能夠對DNS服務器提供相應的安全保障，配置合適的防火牆規則，抵禦DOS攻擊
• 對於在同一局域網下的DNS spoof攻擊
  • 這種攻擊我想說真的很難預防，就本次實踐來講，kali能夠將用戶常常訪問的URL先克隆到本機主頁，而後修改DNS緩存，當用戶訪問該URL時，能看見一個如出一轍的該URL界面，讓用戶誤覺得登陸了正規的網站，不假思索的輸入敏感信息
  • 就上面這一過程，不是檢查域名的合法性就能夠解決的，在設置好SET和DNS後，由於我並無誘導你輸入某個連接，你輸入的域名訪問了你預期的網頁，正常狀況下你是不會懷疑該網頁的真實性的，因此以通常的經驗來講真的很難預防
  • 但要是咱們能提升咱們的安全意識，也是有辦法解決的，首先咱們能夠禁用本地的DNS緩存，避免本身的DNS緩存被惡意竄改，而後，好像就沒有而後了……由於kali根本就沒有讓你訪問本身DNS緩存的機會，直接將全部會話經過ettercap工具轉移到了kali的主機，直接用kali的DNS緩存，你有什麼辦法？我是用戶的話，根本不知道訪問的是kali的DNS緩存，我也很無奈啊！
  • 還有一種是經過IP訪問，但我以爲很不現實，沒有人有記IP、查IP的習慣吧，實際中行不通…
  • 最後我以爲仍是能夠經過https來解決問題的，https協議所要解決的就是服務器認證的問題，要防護的就是有這樣的釣魚網站向用戶欺瞞真實身份，因此如今絕大多數具備POST功能的網站都採用了https協議，當咱們訪問這樣的網站時，若是不能提供正確的數字證書，不能完成ssl握手協議，那該網站確定不可信，這一點在實際生活中應該仍是容易實現的。
  • 另外補充一點吧，若是你真的很擔憂這樣的事發生，你能夠在經過域名訪問時，先在cmd下先Ping一Ping，該過程會解析出此域名的IP，若是是個私有地址IP，請果斷拒絕訪問，確定是克隆網站，而且趕快去排查該IP的主機是誰，揪出這個壞蛋！他在嗅探你的同時，也暴露了他本身！

實驗感想

• 本次實驗作完，個人第一反應就是太厲害了，只要我能連入某一個局域網下，我就能夠經過上述途徑改變任何一個網站的訪問，使得用戶自主輸入連接訪問我預先設定的克隆網站，而後我就坐在電腦前等着信息就OK了；
• 因此啊，能別連的WIFI仍是不要輕易鏈接的好，若是必定要鏈接使用，也不要輕易主動的去訪問某個連接，並輸入敏感的信息，正常狀況下，你是真的很難知道該網站有沒有被克隆，可是也不用過於擔憂，通常來講如今不少軟件與服務器的交互信息都是加了密的，即使被嗅探，也是沒法很快解密出來的；
• 所要擔憂的就是該局域網域名有沒有被劫持，儘可能別經過域名訪問，真的很危險！（預防方案參考前文）