一、实践内容
本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有
(1)简单应用SET工具建立冒名网站
(2)ettercap DNS spoof
(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
(4)请勿使用外部网站做实验
二、实践过程
1、实验环境
·攻击机kali Linux(IP:192.168.5.146)
·靶机1:Windows XP(IP:192.168.5.147)
·靶机2:主机win10 IP:192.168.5.1
1、简单应用SET工具建立冒名网站
·由于要将钓鱼网站挂在本机的http服务下,所以需要将SET工具的访问端口改为默认的80端口。使用 sudo vi /etc/apache2/ports.conf 命令修改Apache的端口文件,将端口改为80
·在kali中使用 netstat -tupln |grep 80 命令查看80端口是否被占用。如果有,使用 kill+进程号 杀死该进程。如下图所示,无其他占用
·输入指令 apachectl start 开启Apache服务
·输入指令 setoolkit 打开SET工具
·选择1: Social-Engineering Attacks 即社会工程学攻击
·选择2: Website Attack Vectors 即钓鱼网站攻击向量
·选择3: Credential Harvester Attack Method 即登录密码截取攻击
·选择2: Site Cloner 进行克隆网站
·输入kali IP:192.168.5.146
·输入被克隆的网址(这里我选用的学校的网站)
·在提示后按回车,提示“Do you want to attempt to disable Apache?”,输入y
·靶机上在浏览器里输入攻击机IP:192.168.5.146,跳转到被克隆的网页(由于XP为英文版本,所以加载不出来登录框,我就点击了一下登陆按钮,所以截取到的东西是空的)
·换一下主机,攻击机上可以看到如下,用户名和密码,攻击机可全部获取
2、ettercap DNS spoof
·使用指令 ifconfig eth0 promisc 将kali网卡改为混杂模式
·输入命令 vi /etc/ettercap/etter.dns 对DNS缓存表进行修改:我添加的记录是 www.cnblogs.com A 192.168.5.146
·使用指令 ettercap -G 开启ettercap,在弹出的界面中选择eth0,开始监听监听eth0网卡
·点击工具栏中的
和
按钮扫描子网并查看存活主机
·将kali网关的IP:192.168.5.2添加到target1,靶机IP:192.168.5.147添加到target2
·点击工具栏中右上角的
按钮,选择arp poisoning,选择sniff remote connections点OK确定
·然后点击右上角的
按钮→“Plugins”→“Manage plugins”
·选择dns_spoof
·在靶机输入指令 ping www.cnblogs.com 查看IP可见ping到了kali上
3、结合应用两种技术,用DNS spoof引导特定访问到冒名网站
·综合以上两种技术,首先按照任务一的步骤克隆一个登录页面,然后按照任务二实施DNS欺骗
·在靶机输入网址www.cnblogs.com可以发现成功访问我们的冒名的学校官网网站
·还是上面的问题这英文版本不显示,所以我假装有登录界面,点一下登录
·还是可以看到登录的账号密码的,因为我啥也没输入,所以空空如也。。
三、问题回答
·通常在什么场景下容易受到DNS spoof攻击?
答:同一局域网下、各种公共网络。
·在日常生活工作中如何防范以上两攻击方法?
答:DNS欺骗攻击大多是被动的。一般情况下,如果不留意、防范我们的DNS很容易被欺骗。这需要在打开常用网页时,仔细检查网址是否被篡改;在公共环境下不随便使用不能保障安全的公共网络;使用最新版本的DNS服务器软件,并及时安装补丁;使用入侵检测系统:只要正确部署和配置,使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。
四、实践体会
通过本次实验,我学会了利用学过的工具来进行网站克隆,从而进行社会工程学攻击,往往我知道在相关的邮箱文件里,通过类似的邮件发送,内容含有克隆网站的危险邮件很多,一不留神便会受到攻击,往往会让攻击者获得用户名和密码,这是十分危险的。所以我们应该注意防范,在公共场合尽量别使用公共wifi,保护自己的信息安全。