2018-2019 20165208 网络对抗 Exp7 网络欺诈防范

实验内容

本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。具体实践有

（1）简单应用SET工具建立冒名网站 （1分）

（2）ettercap DNS spoof （1分）

（3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。（1.5分）

（4）请勿使用外部网站做实验

（5）报告（1分）

基础问题回答

（1）通常在什么场景下容易受到DNS spoof攻击

• 公共wifi环境。
• 从这个实验出发，靶机需要被攻击机扫描，并被设置为目标，所以这要求攻击机和靶机在同一个自网内。

（2）在日常生活工作中如何防范以上两攻击方法

• 登录网站时确定页面无误的情况下也要多留意网址，现在大多数为https，拥有网站证书，可以检查是否来自可信ca颁发的。
• 在安全性难以得到保障的情况下，不随意连公共wifi。

实践过程记录

1. 简单应用SET工具建立冒名网站

• 使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件，将端口改为http对应的80号端口
  

• 使用netstat -tupln |grep 80查看80端口是否被占用(若存在被占用的情况kill 编号杀死进程)
  

• 使用apachectl start开启Apache服务
• 使用setoolkit打开SET工具，开启后有如下选项：

• 选择1：Social-Engineering Attacks即社会工程学攻击
  

• 选择2:Website Attack Vectors即钓鱼网站攻击向量
  

• 选择3:Credential Harvester Attack Method即登录密码截取攻击
  

• 选择2:Site Cloner进行克隆网站
  

• 输入攻击机IP：192.168.1.118，即攻击机Kali的IP
  

• 输入被克隆的url：这里我首先选的是博客园个人主页https://www.cnblogs.com/KY-high/但可能是需要登录的原因，不能直接进行跳转。
  

• 输入被克隆的url：https://www.cnblogs.com/KY-high/p/10765357.html

• 提示“Do you want to attempt to disable Apache?”，选择y
  

• 在靶机上（这里用的是实际主机，但不知道为什么后来就不能跳转了，步骤三也就使用虚拟机做的）输入攻击机IP：192.168.1.118，按下回车后跳转到被克隆的网页：
  

• 攻击机上可以看到如下提示：
  

[补充]：为了进一步伪装攻击机IP，我们可以利用网址缩短网站，将攻击机IP输入，然后生成一个网址，如“http://short.php5developer.com/d2X”。这样靶机访问该网址时和直接输入IP的效果是一样的。

2. ettercap DNS spoof

• 使用ifconfig eth0 promisc将kali网卡改为混杂模式；
  

• 输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改：

添加的两条记录是：

www.mosoteach.cn A 192.168.1.118 #IP要换成自己的kali主机IP
www.cnblogs.com A 192.168.1.118

• 使用ettercap -G开启ettercap：

• 点击工具栏中的“Sniff”——>“unified sniffing”
  

• 在弹出的界面中选择“eth0”——>“ok”，即监听eth0网卡
  

• 点击工具栏中的“Hosts”——>“Scan for hosts”扫描子网
  

• 点击工具栏中的“Hosts”——>“Hosts list”查看存活主机

• 将kali网关的IP：192.168.1.1添加到target1，靶机IP：192.168.1.107添加到target2：
  
  
  

• 选择工具栏Mitm—>Arp poisoning，勾选Sniff remote connections.（嗅探并保持原连接状态），确定
  

• 在靶机中输入arp -a发现已经被arp欺骗成功（欺骗靶机192.168.1.107，让它误以为Kali攻击机192.168.1.118是网关192.168.1.1）
  

• 选择工具栏View->Connections查看和被监听靶机之间的所有连接信息：
  

• 点击工具栏中的“Plugins”——>“Manage the plugins”

• 双击选择“dns_spoof”即DNS欺骗的插件
  

• 然后点击左上角的“start”——>“Start sniffing”选项开始嗅探

• 靶机上输入ping www.mosoteach.cn或ping www.cnblogs.com，可以在Kali端看到反馈信息：
  

[疑问]：我也不知道为什么ping www.mosoteach.cn的时候，返回信息的IP不是kali 的IP，而ping www.cnblogs.com的时候放回的IP就转换成了kali的IP（后来尝试每次设定都修改DNS缓存表，加个空格删个空格，就没再遇到这个问题了）

3. 结合应用两种技术，用DNS spoof引导特定访问到冒名网站

• 建立冒名网站的步骤同2.1的相同，克隆的网站输入mosoteach.cn(蓝墨云)完成第一步。
  

• 设置DNS spoof的步骤同2.2的相同。
  
  
  
  

• 虚拟机Win7中输入ping www.cnblogs.com返回的数据中显示的是攻击者kali的IP，访问www.cnblogs.com时跳转到之前克隆的蓝墨云网站界面。
  

• 本来第三部分也是在本机上做的，以QQ邮箱做了尝试，但不知道是那里的问题，攻击机kal的ip地址和QQ邮箱页面像是绑定了一样，但是输入kail机IP地址却显示页面无法访问，尝试修改三四次，最后还是不行就选择了用虚拟机win7进行了操作。
  

实验感想

通过本次实验，我学会了如何利用工具克隆网页，制作一个钓鱼网站，如何将自己的IP伪装。本以为会很复杂的克隆，实际上却只需要一行命令，同时也深深意识到了以往说连公共wifi不可靠的含义。同时，对于以后的防范方法也有了一定的了解，受益颇多。

2018-2019 20165208 网络对抗 Exp7 网络欺诈防范

原文：https://www.cnblogs.com/KY-high/p/10799797.html