网络安全之钓鱼网站

0.前言

很多人都接触过钓鱼网站,但是什么是钓鱼网站呢?趁着对课程的复习回顾,我在这里介绍一下。

所谓钓鱼网站,即假网站,比如说这有一个正确的网站www.qqpet.qq.com这个网站是腾讯QQ宠物的网站,但是钓鱼网站可能变成了www.qqqet.qq.com。咋一看,不就是QQ宠物的官网嘛 ,然后点击登录,结果就进入了钓鱼网站。这样和真实网站很类似,但是又不是正确的网站即为钓鱼网站。

 

1.实验内容

在今天的课程中,我所需要做的实验内容如下:

主机A:黑客

主机B:真实网站

主机C:被欺骗者

即完成内容:主机C进入虚假的钓鱼网站,发送了自己的用户名和密码给了主机A的邮箱,从而导致信息的泄露。

 

2.实验前提

(1)主机A要有一个HTML文件和内部盗取密码的JS代码,HTML文件必须和正确的真实网站的HTML文件一模一样,从而蒙混过关。

(2)主机B只需要有一个正确的HTML即可。

 

3.实验过程

(1)主机C输入了错误的网站地址

(2)经过DNS解析,主机B将错误网站地址对应的IP地址发送给主机C,主机C访问这个错误的网址

(3)主机C进行正常的操作,登录,以及输入用户名。

(4)钓鱼网址得到用户名和密码之后,跳出窗口:用户名和密码不正确,即立刻跳转到正确的网址,主机C再次输入用户名和密码,进入网站。于此同时,主机A邮箱中得到用户名和密码。

这里需要注意的是:

(1)该怎么保证主机C能够访问主机A和主机B的HTML文件呢?

(2)怎么能够在点击登录按钮之后将用户名和密码发送到邮件中?

 

4.关键步骤

(1)主机C作为受害者,需要在网络属性中修改IPV4的“首选的DNS服务器”,并将其中的IP地址修改成主机B的IP地址,这样,即可访问了主机B的HTML文件内容。

(2)主机B需要使用DNS服务器,因为从而实现DNS解析。具体这一步骤该如何做,请探索网络上的方法。

(3)在我们学校的测试仪器上,因为毛病很多。需要关注的点是:Outlook Express邮箱设置一定要正确。有两点需要注意:第一,最好和测试软件介绍的使用方法保持一致,包括其中的命名和密码,大小写都需要保持一致。第二,需要保证邮件收发服务器的正确填写,一般情况下,两者一样。

 

5.实验结果

在主机C点击钓鱼网站之后(此刻正在访问主机A的内容,并将用户名和密码传输到主机A的邮箱中),发现无法登录的时候,主机A将主机C访问的网址修改成正确的网址,再次DNS解析之后便得到了正确的登录(但是此时已经丢失了用户名和密码)。

 

6.主要截图

网络安全之钓鱼网站_第1张图片

 

你可能感兴趣的:(Computer)