2018-2019-2 20165330《網絡對抗技術》Exp7 網絡欺詐防範

目錄

• 基礎問題
• 相關知識
• 實驗目的
• 實驗內容
• 實驗步驟
• 實驗中遇到的問題
• 實驗總結與體會

---

實驗目的

• 本實踐的目標理解經常使用網絡欺詐背後的原理，以提升防範意識，並提出具體防範方法。

返回目錄

---

實驗內容

• 簡單應用SET工具創建冒名網站
• ettercap DNS spoof
• 結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站。

返回目錄

---

基礎問題

• 一般在什麼場景下容易受到DNS spoof攻擊

  • 在同一局域網下比較容易受到DNS spoof攻擊，攻擊者能夠冒充域名服務器，來發送僞造的數據包，從而修改目標主機的DNS緩存表，達到DNS欺騙的目的。
  • 還有鏈接公共場合一些不須要輸入密碼的WiFi也會爲這種攻擊創造條件。

• 在平常生活工做中如何防範以上兩攻擊方法

  • 使用最新版本的DNS服務器軟件，並及時安裝補丁；
  • 能夠將IP地址和MAC地址進行綁定，不少時候DNS欺騙攻擊是以ARP欺騙爲開端的，因此將網關的IP地址和MAC地址靜態綁定在一塊兒，能夠防範ARP欺騙，進而放止DNS spoof攻擊。
  • 使用入侵檢測系統：只要正確部署和配置，使用入侵檢測系統就能夠檢測出大部分形式的ARP緩存中毒攻擊和DNS欺騙攻擊
  • 不亂連WiFi，不亂點一些網站及不明連接，從而給攻擊者可乘之機。

返回目錄

---

相關知識

• DNS欺騙
  • 原理：攻擊者冒充域名服務器，而後把查詢的IP地址設爲攻擊者的IP地址，這樣的話，用戶上網就只能看到攻擊者的主頁，而不是用戶想要取得的網站的主頁了。
  • DNS欺騙其實並非真的「黑掉」了對方的網站，而是冒名頂替、招搖撞騙罷了
  • 預防：DNS欺騙攻擊是很難防護的，由於這種攻擊大多數本質都是被動的。一般狀況下，除非發生欺騙攻擊，不然你不可能知道你的DNS已經被欺騙，只是你打開的網頁與你想要看到的網頁有所不一樣。
    • 保護內部設備
    • 不要依賴DNS：在高度敏感和安全的系統，你一般不會在這些系統上瀏覽網頁，最後不要使用DNS。若是你有軟件依賴於主機名來運行，那麼能夠在設備主機文件裏手動指定。
    • 使用入侵檢測系統：只要正確部署和配置，使用入侵檢測系統就能夠檢測出大部分形式的ARP緩存中毒攻擊和DNS欺騙攻擊。
    • 使用DNSSEC：DNSSEC使用的是數字前面DNS記錄來確保查詢響應的有效性，如今尚未普遍運用，但已被公認爲是DNS的將來方向。
• SET工具
  • 社會工程學工具包（SET）是一個開源的、Python驅動的社會工程學滲透測試工具。這套工具包由David Kenned設計，並且已經成爲業界部署實施社會工程學攻擊的標準。
  • SET利用人們的好奇心、信任、貪婪及一些愚蠢的錯誤，攻擊人們自身存在的弱點。使用SET能夠傳遞攻擊載荷到目標系統，收集目標系統數據，建立持久後門，進行中間人攻擊等。
  • 簡單使用
    • 啓動SET：setoolkit
    • 進入會出現下列選項：
      
    • 選擇社會工程學攻擊後會出現下列選項
      
  • SET工具默認安裝在/usr/share/set目錄下
  • 更多可參考使用社會工程學工具包（SET）
• EtterCap
  • EtterCap是一個基於ARP地址欺騙方式的網絡嗅探工具。它具備動態鏈接嗅探、動態內容過濾和許多其餘有趣的技巧。它支持對許多協議的主動和被動分析，幷包含許多用於網絡和主機分析的特性。
  • kali 2.0內置有ettercap，可用過ettercap -v查看版本信息
  • 圖形化界面：ettercap -G
  • 選擇sniffer模式
    
  • 網卡選擇默認eth0，點擊確認可開始嗅探
  • 菜單處Hosts-Hosts List可查看嗅探到的主機ip地址、mac地址
  • 菜單處Mitm可選擇攻擊方式，包括arp 欺騙、DHCP洪泛攻擊等
  • 菜單出view中可查看嗅探到的通訊信息
  • 更多可參考Kali 2.0 下Ettercap 使用教程+DNS欺騙攻擊

返回目錄

---

實驗步驟

簡單應用SET工具創建冒名網站

• 使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件，將端口改成http對應的80號端口
  
  修改後esc鍵-:wq保存退出
• 使用netstat -tupln |grep 80查看80端口是否被佔用。若是有，使用kill+進程號殺死該進程或使用kill -s 9 進程號強制殺死進程
  
  上圖顯示爲未被佔用
• 開啓Apache服務：systemctl start apache2
• 開啓SET工具：setoolkit
• 選擇1：Social-Engineering Attacks（社會工程學攻擊）
  
• 選擇2：Website Attack Vectors（釣魚網站攻擊向量）
  
• 選擇3：:Credential Harvester Attack Method`（即登陸密碼截取攻擊）
  
• 選擇2：Site Cloner克隆網站
  
• 輸入攻擊機kali的IP地址：192.168.43.4（咱們可以使用網址縮短改變網址來迷惑靶機）
  
• 咱們輸入一個有須要登錄的url（即被克隆的url）
  
• 提示Do you want to attempt to disable Apache?時選擇y
  
• 在靶機瀏覽器地址欄中輸入攻擊機kali的IP地址訪問，攻擊機這邊即收到鏈接提示
  
• 在靶機輸入（多是錯誤的）用戶名和密碼，攻擊機可所有獲取
  

ettercap DNS spoof

• 使用指令ifconfig eth0 promisc將kali網卡改成混雜模式
• 輸入vi /etc/ettercap/etter.dns對DNS緩存表進行修改，按i鍵添加幾條對網站和IP的DNS記錄
  
• 開啓ettercap：ettercap -G（自動彈出ettercap的可視化界面）
• 點擊工具欄中的Sniff—unified sniffing（嗅探全部），在彈出的界面中選擇eth0後點擊肯定（即監聽eth0網卡）
  

• 點擊工具欄中的Hosts-Scan for hosts掃描子網，再點擊Hosts list查看存活主機，將網關IP添加到target1，靶機IP添加到target2
  

  注意：這裏的網關IP須要在靶機cmd中輸入ipconfig確認，在個人win7虛擬機中網關爲192.168.38.2，win10主機卻爲192.168.38.1，將target1換爲win7的網關後，ping命令出現的就是攻擊機kali的IP了！

• 點擊工具欄中的Plugins—Manage the plugins，雙擊dns_spoof選擇DNS欺騙的插件
  
• 點擊左上角的Start開始嗅探，此時在靶機中用命令行ping www.mosoteach.cn會發現解析的地址是攻擊機kali的IP地址
  

• 此時在ettercap上也成功捕獲到訪問記錄
  

結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站。

• 綜合使用以上兩種技術
• 首先按照實驗一的步驟克隆一個登陸頁面，跳轉成功
  
  
• 經過實驗二實施DNS欺騙，此時在靶機輸入網址www.mosoteach.cn能夠發現成功訪問咱們的冒名網站
  
• 以後咱們從新開啓setoolkit停在正在捕獲處（注意檢查80端口是否被佔用），從新打開ettercap開始DNS欺騙，靶機中輸入網址www.mosoteach.cn能夠發現捕獲到記錄
  

返回目錄

---

實驗中遇到的問題

• 在使用setoolkit克隆網站時出現Address already in use
  

  解決辦法：ctrl+z退出當前命令，使用netstat -tupln |grep 80查看80端口，使用kill+進程號或kill -s 9 進程號殺死進程, 在systemctl start apache2開啓Apache服務，最後進入setoolkit便可。

• 在使用ettercap嗅探時並未出現網關地址

  解決辦法：一開始個人kali爲橋接模式，改成NAT模式後就可掃描出，以此靶機使用NAT模式的win7虛擬機。

• 使用ettercap進行DNS欺騙時，靶機ping後並無發生變化。

  解決辦法：在靶機的cmd中輸入ipconfig確認網關的IP地址，發現個人win7虛擬機爲192.168.38.2，win10主機卻爲192.168.38.1，隨後將target1換爲win7的網關後，ping命令出現的就是攻擊機kali的IP了！
  

---

實驗總結與體會

• 經過本次實驗，在學習利用各類工具克隆網頁，製做一個釣魚網站，並將本身的IP假裝，經過實踐監控靶機的輸入，獲取用戶名密碼等信息，感受本身離成爲真正的攻擊者更進了一步，但與此同時，做爲一個普通的用戶，咱們也要多加防範這些釣魚網站，以避免被非法獲取我的信息。

參考資料

• 中間人攻擊-DNS欺騙
• 使用社會工程學工具包（SET）
• Kali 2.0 下Ettercap 使用教程+DNS欺騙攻擊