20154309 【網絡對抗技術】Exp7: 網絡欺詐防範
20154309 【網絡對抗技術】Exp7: 網絡欺詐防範
一、原理和實踐說明
1.實踐目標
- 理解常用網絡欺詐背後的原理,以提高防範意識,並提出具體防範方法。
2.實踐內容
(1)簡單應用SET工具建立冒名網站 (1分)
(2)ettercap DNS spoof (1分)
(3)結合應用兩種技術,用DNS spoof引導特定訪問到冒名網站。(1.5分)
3.基礎問題回答
(1)通常在什麽場景下容易受到DNS spoof攻擊?
答:在同一局域網下,以及各種公共網絡下容易受到DNS spoof攻擊。
(2)在日常生活工作中如何防範以上兩攻擊方法?
答:DNS欺騙攻擊是很難防禦的,因為這種攻擊大多數本質都是被動的。通常情況下,除非發生欺騙攻擊,否則你不可能知道你的NDS已經被欺騙,只是你打開的網頁與你想看的網頁有所不同。
- 使用最新版本的DNS服務器軟件,並及時安裝補丁;
- 關閉DNS服務器的遞歸功能。DNS服務器利用緩存中的記錄信息回答查詢請求或是DNS服務器通過查詢其他服務獲得查詢信息並將它發送給客戶機,這兩種查詢成為遞歸查詢,這種查詢方式容易導致DNS欺騙。
- 不要依賴DNS:不要在高度敏感和保密要求高的系統上瀏覽網頁,最好不要使用DNS。如果有軟件依賴於主機名來運行,那麽可以在設備主機文件裏手動指定。
- 使用入侵檢測系統:只要正確部署和配置,使用入侵檢測系統就可以檢測出大部分形式的ARP緩存中毒攻擊和DNS欺騙攻擊。
二、實踐過程記錄
(一).簡單應用SET工具建立冒名網站
1.由於要將釣魚網站掛在本機的http服務下,所以需要將SET工具的訪問端口
sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件,將端口改為80,如下圖所示:
2、在kali中使用netstat -tupln |grep 80命令查看80端口是否被占用。如果有,使用kill+進程號殺死該進程。如下圖所示,無其他占用:
3.使用apachectl start開啟Apache服務:
4、輸入setoolkit打開SET工具:
選擇1進行社會工程學攻擊
選擇3即登錄密碼截取攻擊:
選擇2即釣魚網站攻擊向量:
接著輸入攻擊機的IP地址,也就是kali的IP地址
輸入被克隆的url:
5.在靶機瀏覽器地址欄輸入這個地址,按下回車,攻擊機這邊即收到連接提示:
6.在靶機輸入(可能是錯誤的)用戶名和密碼,攻擊機可全部獲取:
2.ettercap DNS spoof
1.使用指令ifconfig eth0 promisc將kali網卡改為混雜模式;
2.輸入命令vi /etc/ettercap/etter.dns對DNS緩存表進行修改,如圖所示,可以添加幾條對網站和IP的DNS記錄,圖中的IP地址是我的kali主機的IP:
3.輸入ettercap -G指令,開啟ettercap,會自動彈出來一個ettercap的可視化界面,點擊工具欄中的Sniff——>unified sniffing,然後在彈出的界面中選擇eth0->ok,即監聽eth0網卡:
4.在工具欄中的Hosts下先點擊Scan for hosts掃描子網,再點擊Hosts list查看存活主機,將kali網關的IP添加到target1,靶機IP添加到target2:
5.選擇Plugins—>Manage the plugins,雙擊dns_spoof選擇DNS欺騙的插件:
6.然後點擊左上角的start選項開始嗅探,此時在靶機中用命令行ping www.mosoteach.cn會發現解析的地址是攻擊機的IP地址:
此時在ettercap上也成功捕獲一條訪問記錄:
3.結合應用兩種技術,用DNS spoof引導特定訪問到冒名網站
綜合使用以上兩種技術,首先按照實驗一的步驟克隆一個登錄頁面,在通過實驗二實施DNS欺騙,此時在靶機輸入網址www.mosoteach.cn可以發現成功訪問我們的冒名網站:
為了與任務一區分,使用另一個用戶名和密碼嘗試登錄,攻擊機亦可獲取:
如果我們仿照原頁面www.mosoteach.cn的登錄界面進行克隆,用戶就很難察覺自己正在訪問釣魚網站。當用戶輸入用戶名和密碼時,殊不知已經被攻擊機悄悄獲取了
三.實踐總結及體會
原來被盜取口令是如此簡單!以前本以為不亂點可疑鏈接就能萬事大吉,但DNS欺騙實在是太難防禦了,即使輸入了正常的鏈接,我們訪問的頁面也有可能早就被偷梁換柱了。所以,不僅不能隨意點擊鏈接,更要留意我們訪問的網站是否被克隆。為了減少被這種方法攻擊的可能性,首先,從別亂連公共WiFi做起......
20154309 【網絡對抗技術】Exp7: 網絡欺詐防範