2018-2019-2 20165315《网络对抗技术》Exp7 网络欺诈防范

一、实验内容

本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。具体实践有

• 简单应用SET工具建立冒名网站
• ettercap DNS spoof
• 结合应用两种技术，用DNS spoof引导特定访问到冒名网站

注意：请勿使用外部网站做实验

二、实验步骤

1、简单应用SET工具建立冒名网站

生成的钓鱼网站如果使用https服务无法验证证书，因此钓鱼网站要使用http服务

• 在kali命令行中输入sudo vi /etc/apache2/ports.conf将Apache的端口改为80

• 使用netstat -tupln |grep 80命令查看80端口是否被占用

如图所示，没有被任何进程占用。如果有，使用kill+进程号指令杀死该进程。

• 使用apachectl start指令启动Apache服务

• 使用setoolkit指令打开SET工具
• 首先选择1，进行社会工程学攻击

• 选择2，网站攻击向量

• 选择3，登录密码截取攻击

• 选择2，进行克隆网站

• 输入kali的IP地址10.1.1.102和要克隆的网址https://www.mosoteach.cn/web/index.php?c=passport&m=index

• 访问kali的IP地址10.1.1.102，打开的是一个和正常网站界面一样的钓鱼网站

• 当用户登录时，可以在kali中截取到用户的用户名和密码

2、ettercap DNS spoof

• 使用ifconfig eth0 promisc指令将kali网卡改为混杂模式，这样kali就能监听整个局域网络的数据包
• 输入vi /etc/ettercap/etter.dns指令对DNS缓存表进行修改，加入一个常用域名，而对应的IP地址为kali本机IP

• 输入ettercap -G打开ettercap工具
• 点击工具栏中的sniff -> unified sniffing，在弹出的界面中选择eth0，使其监听eth0网卡

• 点击工具栏中的Hosts -> Scan for hosts，等待扫描完成后点击Hosts -> Hosts list查看，有4个主机存活

• 将kali的网关地址10.1.1.1设置为TARGET1，将靶机（WinXP虚拟机）的IP地址10.1.1.246设置为TARGET2

• 点击工具栏中的Plugins -> Manage the plugins，双击dns_spoof选中DNS欺骗的插件
• 点击工具栏中的Start -> start sniffing，开始嗅探

• 靶机用命令行ping www.baidu.com，可以看到连接到的IP地址就是kali的IP地址

• 控制台也能看到一个到kali的IP地址的连接

3、结合应用两种技术，用DNS spoof引导特定访问到冒名网站

结合两种技术，第一种克隆一个网站，然后通过第二种实施DNS欺骗，输入自己设置的域名，浏览器会自动连接到自己修改的DNS表中对应的DNS，从而连接到第一步设置的kali的IP对应的钓鱼网站上

• 重复任务一，将www.mosoteach.cn/web/index.php?c=passport&m=index与kali的IP10.1.1.102关联
• 设置DNS表，加入www.baidu.com与其对应的IP为10.1.1.102，打开ettercap，按任务二操作直至开始嗅探
• 靶机打开www.baidu.com，显示蓝墨云界面

• ettercap的控制台显示连接信息

• 输入任意用户名和密码后，在kali中也可看到连接的信息和用户名、密码

三、实验中遇到的问题

• 在做第三个任务，发现在已经设置了引导www.baidu.com到www.mosoteach.cn/web/index.php?c=passport&m=index之后，在虚拟机WinXP上访问www.baidu.com依然跳转到百度界面，但是访问10.1.1.102是成功跳转蓝墨云界面的

解决过程：
重复尝试了很多次，主要是我认为自己理解的实验过程应该没有出错...本来都要放弃了，结果最后刷新了一次www.baidu.com域名后，发现居然成功跳转蓝墨云界面了！问题居然是因为更新有延迟！！！

• 同样是第三个任务，成功跳转蓝墨云界面却发现不是https://www.mosoteach.cn/web/index.php?c=passport&m=index的界面，而是www.mosoteach.com对应的界面

解决过程：
我怀疑可能还是延迟的问题，都怪自己一直尝试克隆不同的网址，感觉kali和WinXP都混乱了...于是第二天重新设置了所有步骤，成功！

四、实验总结

1、基础问题问答

• 通常在什么场景下容易受到DNS spoof攻击

当攻击机与靶机位于同一局域网的时候，比如在各种公共网络中，公用热点特别是免费的热点要格外小心，不要轻易输入自己的密码等私密信息

• 在日常生活工作中如何防范以上两攻击方法

不轻易连接来历不明的热点

访问需要输入密码的网站时，注意网址、域名是否有问题，比如多一个、少一个数字或字母等等

在手机、电脑上安装相应的预防软件

2、实验感想

通过这次实验，我发现制作一个钓鱼网站竟然如此简单，实现DNS欺骗往往令人难以防范。所以对于那些公开的免费WiFi，无论是商店餐馆还是私人的，都不要轻易连接了，在上网的时候多注意网址是否和正常的有变化，特别是要输入密码等私密信息的时候。增强网络安全防范意识，从日常上网做起。