2019-2020-2 20175316 盛茂淞 《网络对抗技术》 Exp7 网络欺诈防范

一.实践原理与说明

实践原理

• Linux apachectl命令可用来控制Apache HTTP服务器的程序，用以启动、关闭和重新启动Web服务器进程。

• apachectl是slackware内附Apache HTTP服务器的script文件，可供管理员控制服务器，但在其他Linux的Apache HTTP服务器不一定有这个文件。

• 语法apachectl [configtest][fullstatus][graceful][help][restart][start][status][stop]

  • configtest 检查设置文件中的语法是否正确。
  • fullstatus 显示服务器完整的状态信息。
  • graceful 重新启动Apache服务器，但不会中断原有的连接。
  • help 显示帮助信息。
  • restart 重新启动Apache服务器。
  • start 启动Apache服务器。
  • status 显示服务器摘要的状态信息。
  • stop 停止Apache服务器。

• EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具。

  • 它具有动态连接嗅探、动态内容过滤和许多其他有趣的技巧。
  • 它支持对许多协议的主动和被动分析，并包含许多用于网络和主机分析的特性。
  • 主要适用于交换局域网络，借助于EtterCap嗅探软件，渗透测试人员可以检测网络内明文数据通讯的安全性，及时采取措施，避免敏感的用户名/密码等数据以明文的方式进行传输。

实践目标

• 本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。具体实践有：
  （1）简单应用SET工具建立冒名网站 （1分）
  （2）ettercap DNS spoof （1分）
  （3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。（1.5分）

实践环境

• Windows 10
• Kali
• Windows XP

基础问题回答

（1）通常在什么场景下容易受到DNS spoof攻击

• 当我们在同一网段（局域网）下容易受到DNS spoof攻击，攻击者可以冒充域名服务器，修改目标主机的DNS缓存表，这样打开的网页就是冒充的
• 公共场所的免费WiFi最容易受到攻击，因为你发的数据都会经过他的路由器

（2）在日常生活工作中如何防范以上两攻击方法

• 不要随便连接公共的WiFi，最好平时出门之后把WiFi关掉，以防自动连接，不给不法分子可乘之机
• 可以将IP地址和MAC地址进行绑定
• 打开网页的时候，注意查看网址是否被篡改
• 使用入侵检测系统，可以检测出大部分的DNS欺骗攻击

实践内容与步骤

任务一：简单应用SET工具建立冒名网站

• 攻击机：kali

• 靶机：windows 10

• 由于要将钓鱼网站挂在本机的http服务下，所以需要将SET工具的访问端口改为默认的80端口。使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件，将端口改为80
  

• 在kali中使用netstat -tupln |grep 80命令查看80端口是否被占用。如果有，使用kill+进程号杀死该进程。如下图所示，无其他占用：
  

• 使用sudo apachectl start开启Apache服务：

• 输入sudo setoolkit打开SET工具：
  

• 选择1：Social-Engineering Attacks社会工程学攻击![]
  

• 选择2:Website Attack Vectors钓鱼网站攻击向量
  

• 选择3:Credential Harvester Attack Method即登录密码截取攻击
  

• 选择2:Site Cloner进行克隆网站
  

• 输入攻击机IP：192.168.136.128即Kali的IP
  

• 输入被克隆博客url:https://www.cnblogs.com/sms369/p/12820551.html

• 在提示“Do you want to attempt to disable Apache?”，选择y

• 在靶机上（我用的Windows）输入攻击机IP：192.168.136.128，按下回车后跳转到被克隆的网页，在kali就可以看到用户输入的数据信息
  

• 换个网页试试能不能记录用户名密码信息
  

（咦登录用户名密码信息没有了，不知道是不是没加载出来还是浏览器的问题）

任务二：ettercap DNS spoof

• 使用ifconfig eth0 promisc将kali网卡改为混杂模式；
  

• 输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改，如图所示，可以添加几条对网站和IP的DNS记录，图中的IP地址是我的kali主机的IP：

www.mosoteach.cn A 192.168.136.128  //IP要换成自己的kali主机IP
www.cnblogs.com  A 192.168.136.128
https://www.cnblogs.com/sms369/p/12820551.html A 192.168.136.128

• 使用ettercap -G开启ettercap

• 在选择好网卡eth0后点击√开始监听
  

• 在右上角的选择Hosts——>Scan for hosts扫描子网
  

• 点击Hosts——>Hosts list查看存活主机

• 虚拟机的网关为192.168.136.2，靶机WindowsXP的IP为192.168.136.142

• 将网关的IP添加到target1，将靶机IP添加到target2
  

• 点击工具栏中的Plugins——>Manage the plugins

• 选择dns_spoof即DNS欺骗的插件,双击后即可开启
  

• 此时已经处于嗅探模式，在靶机中执行ping www.cnblogs.com命令，kali端看到反馈信息如下：
  

任务三：结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

• 综合使用以上两种技术，首先按照任务一的步骤克隆一个登录页面，在通过任务二实施DNS欺骗，此时在靶机输入网址http://www.cnblogs.com/可以发现成功访问我们的冒名网站

• 首先重复任务一，将蓝墨云登陆地址与kali的IP:192.168.136.128关联

• 按照任务二的步骤实施DNS欺骗，此时www.cnblogs.com的解析地址已经被我们设置为了攻击机地址

• 靶机中输入网址www.cnblogs.com，显示出来的网页却是蓝墨云的登录界面
  

• 此时攻击机中ettercap看见一条连接记录

• 靶机在该登录界面输入用户名和密码，发现攻击机这边获取了相关信息，可以看到用户名、密码

2019-2020-2 20175316 盛茂淞 《网络对抗技术》 Exp7 网络欺诈防范

原文：https://www.cnblogs.com/sms369/p/12876034.html