理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
1.在混杂模式下的网卡能够接收一切通过它的数据,而不管该数据目的地址是否是它。当网卡处于这种"混杂"方式时,该网卡具备"广播地址",它对所有遇到的每一个数据帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。
2.DNS解析记录
| 记录类型 | 作用 |
|---|---|
| A | 将主机映射到IPv4地址 |
| AAAA | 将主机映射到IPv6地址 |
| CNAME | 别名记录,将一个名称解析到另一个名称 |
| MX | 记录邮件路由 |
| NS | 定义用于此区域的名称服务器 |
| PTR | 与IP地址相关联的名称 |
由于实验中需要用到80端口,首先使用netstat -anp | grep 80查看80端口是否被占用,从下图中可以看出,80端口被nginx占用,进程PID为1554。使用kill 1554让进程自行停止运行,否则nginx进程在被kill后还会重新启动。
查看Apache的端口配置文件,检查监听的端口是否为80,端口位于/etc/apache2/ports.conf:
输入systemctl start apache2启动apache服务,然后使用systemctl status apache2查看apache服务是否成功启动:
输入setoolkit启动SET工具,并同意服务协议:
输入1,选择Social-Engineering Attacks社会工程学攻击:
1、社会工程学攻击
2、快速追踪测试
3、第三方模块
4、升级软件
5、升级配置
6、帮助
99、退出
输入2,选择Website Attack Vectors钓鱼网站攻击向量:
1、鱼叉式网络钓鱼攻击
2、网页攻击
3、传染媒介式
4、建立payloaad和listener
5、邮件群发攻击
6、Arduino基础攻击
7、无线接入点攻击
8、二维码攻击
9、Powershell攻击
10、第三反模块
99、返回上级
输入3,选择Credential Harvester Attack Method登录密码截取攻击:
第一个,Applet是一种Java程序,它一般运行在支持Java的Web浏览器内,伪造一份Java证书,并且运行一个基于Metasploit的载荷;第二个,Metasploit浏览器利用方法,使用iFrame攻击,运行一个Metasploit载荷;第三种,凭证收割机攻击方法,对网站进行复制,并且通过对POST参数进行重写,使得攻击者可以拦截并且窃取用户的凭证。当窃取完成后,将受害者重定向回原来的网站
输入2,选择Site Cloner克隆网站:
1、网站模版
2、设置克隆网站
3、自定义网站
输入攻击机kali的ip:192.168.0.101:
输入想要克隆的网址,选择云班课网页登录:https://www.mosoteach.cn/web/index.php?c=clazzcourse,在提示 Do you want to attempt to disable Apache? 时选择 ‘y‘:
迷惑行为,既然这里需要关掉apache,那之前又为什么要打开它呢?
这靶机浏览器上输入攻击机的IP: 192.168.0.101,会跳转到被克隆的网页:
在网页中输入账号和密码提交,可以在kali上看到捕获到了提交的信息:
首先使用ifconfig eth0 promisc将kali网卡改为混杂模式;
使用vim对对DNS缓存表/etc/ettercap/etter.dns进行修改:添加记录web2.besti.edu.cn A 192.168.0.101(修改前先备份):
使用ettercap -G开启ettercap,点击Sniff中的Unified sniffing,在弹出的窗口中将Network interface设置为eth0(根据自己的计算机网卡而定),然后点击确定。
选择Hosts选项下的Scan for hosts扫描网关下的所有在线的计算机主机:
然后我就什么都没有扫出来(挠头.jpg),所以我换成了nmap进行扫描,手动在ettercap中添加target。从nmap扫描结果中得知,网关的IP是192.168.0.1,MAC地址是04:95:E6:C9:E0:58;靶机的IP是192.168.0.104,MAC地址是9A:22:45:8E:61:96(不放图了)。
选择Targets选项中的Select target(s):
将网关的相关信息填入target1,将靶机的相关信息填入target2,点击确定:
点击Mitm中的arp poisoning,在弹出的框中勾选第一个,点击确定:
点击Plugins中的Manage the plugins:
选择dns_spoof,双击启动:
在靶机中ping之前在kali中新添加的dns记录(成功了,但需要等很长一段时间):
kali中可以看到反馈:
先使用使用ettercap用dns spoof将www.besti.edu.cn与攻击机关联,然后再setoolkit克隆一个网站并启动监听(当然也可以用自定义的网站),然后在靶机中使用EDGE浏览器输入www.besti.edu.cn(新版EDGE真好用!)。
上一步失败了。发现用IP地址直接访问没有问题,更换火狐浏览器后,使用域名访问成功。
(1)通常在什么场景下容易受到DNS spoof攻击
在外出使用各种免费wifi或别的公共网络时。
(2)在日常生活工作中如何防范以上两种攻击方法
1.在打开网页时仔细检查网页是否被篡改,比如检查证书。
2.不轻易链接公共网络,比如免费wifi等。
3.使用入侵检测系统,可以检测网络中是否有ARP攻击和dns spoof攻击。
通过本次实验我掌握了如何制作钓鱼网站和如何通过dns欺骗使别人访问我们制作的钓鱼网站。
这次实验让我意识到了公共网络并不安全,可能存在很多的攻击。更要加强安全意识,注重防范。
2019-2020-2 20174317祝源《网络对抗技术》Exp7 网络欺诈防范
原文:https://www.cnblogs.com/20174317zhuyuan/p/12849256.html