| 一、實驗目標 |
本實踐的目標理解常用網絡欺詐背后的原理,以提高防范意識,並提出具體防范方法。
| 二、基礎知識 |
1.實踐要求
理解常用網絡欺詐背后的原理,以提高防范意識,並提出具體防范方法。
2.指令/參數
/etc/apache2/ports.conf # Apache的端口文件
/etc/ettercap/etter.dns # DNS緩存表
3.預備知識
SET
- Social-Engineer Toolkit,社會工程學工具包,由TrustedSec的創始人創建和編寫,是一個開源的Python驅動工具,旨在圍繞社交工程進行滲透測試,已經在包括Blackhat,DerbyCon,Defcon和ShmooCon在內的大型會議上提出過,擁有超過200萬的下載量,旨在利用社會工程類型環境下的高級技術攻擊。
Ettercap
- 具有嗅探實時連接、內容過濾等功能,支持插件,可以通過添加新的插件來擴展功能;
- 工作原理是將網絡接口設置為混雜模式並通過ARP欺騙感染目標設備,由此該設備成為“中間人”並發動對受害者的各類攻擊;
- 支持對許多協議(包括加密協議)的主動和被動分離,並具有網絡和主機分析方面的多項功能,包含四種操作模式:
- 基於IP的模式:根據IP源和目的地過濾數據包;
- 基於MAC的模式:根據MAC地址過濾數據包,該模式能夠對嗅探通過網關的連接起到作用;
- 基於ARP的模式:利用ARP欺騙方式在兩個主機之間的交換式局域網(全雙工即支持雙方同時發送信息)上進行嗅探;
- 基於公共ARP的模式:利用ARP欺騙方式從一台受害者主機到其它所有主機的交換式局域網(全雙工)上進行嗅探。
- 具體功能
- 在已建立的連接中注入字符:將字符注入到服務器(模擬命令)或客戶端(模擬回復)並同時保持實時連接;
- SSH1支持:嗅探用戶名和密碼,甚至是SSH1連接的數據(能夠以全雙工方式嗅探SSH連接);
- HTTPS支持:嗅探HTTP SSL連接上的加密數據——通過Cisco路由器的GRE tunnel對遠程流量進行嗅探,並對它進行”中間人攻擊”;
- 插件支持:使用Ettercap的API創建自定義插件;
- 密碼收集:可以收集以下協議的密碼信息——TELNET、FTP、POP、IMAP、rlogin、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、Napster、IRC、RIP、BGP、SOCKS 5、IMAP 4、VNC、LDAP、NFS、SNMP、Half-Life、Quake 3MSN、YMSG;
- 數據包過濾/丟棄:設置一個過濾器,用於在TCP或UDP有效內容中查找特定字符串(或十六進制序列),並用自定義字符串/序列替換它,或丟棄整個數據包;
- 操作系統指紋:可以提取受害主機及其網絡適配器的操作系統信息;
- 終止連接:從connections-list(連接列表)中終止所選擇的連接;
- 局域網的被動掃描:檢索局域網上的主機信息、開放端口、可用服務的版本號、主機(網關、路由器或簡單PC)的類型以及躍點數的預估距離;
- 劫持DNS請求;
- 主動或被動地在局域網中找到其它受感染者的功能。
| 三、實驗步驟 |
任務一:簡單應用SET工具建立冒名網站
由於要將釣魚網站掛在本機的http服務下,所以需要將SET工具的訪問端口改為默認的80端口。使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件,將端口改為80,如下圖所示:
使用netstat -tupln |grep 80命令查看80端口是否被占用。如果有,使用kill+進程號殺死該進程
使用apachectl start開啟Apache服務
輸入sudo setoolkit出現bash:setoolkit:未找到命令系統顯示未安裝,使用命令進行安裝
安裝成功后輸入setoolkit進入SET工具(輸入Y)
選擇1:Social-Engineering Attacks即社會工程學攻擊
選擇2:Website Attack Vectors即釣魚網站攻擊向量
輸入3 :Credential Harvester Attack Method即登錄密碼截取攻擊
選擇2:Site Cloner進行克隆網站
輸入攻擊機(kali)IP:192.168.78.128
輸入被克隆的url:https://www.mosoteach.cn/web/index.php?c=passport&m=index
然后誘騙目標機輸入kali的ip地址后進行信息的抓取
靶機的瀏覽器中輸入攻擊機的IP地址
在假冒網站輸入賬號密碼后,kali中也獲取到了賬號和密碼。
任務二:ettercap DNS spoof
使用sudo ifconfig eth0 promisc將kali的網卡改為混雜模式
輸入命令sudo vi /etc/ettercap/etter.dns,打開DNS緩存表並進行修改,添加兩條記錄www.mosoteach.cn A 192.168.78.128,www.cnblogs.com A 192.168.78.128
使用sudo ettercap -G開啟ettercap,並點擊√開始掃描(這里注意Primary interface應該為eth0,如果不是的話就改成eth0)
點擊右上角的三個點,然后依次選擇Hosts、Scan for hosts掃描子網
在Host list中查看掃描到的存活主機
靶機IP
選中靶機網關的地址添加到Target 1,靶機地址添加為Target 2
點擊Plugins——>Manage the plugins,然后雙擊dns_spoof選擇DNS欺騙的插件。
靶機PingDNS緩存表中添加的網站,解析地址都是攻擊機的IP地址
然后靶機執行ping操作,ping www.cnblogs.com,然后kali中可以收到提示。
沒有DNS欺騙的ping結果
任務三:結合應用兩種技術,用DNS spoof引導特定訪問到冒名網站
啟動SET工具的網站克隆和Ettercap dNS_spoof
在靶機輸入DNS緩存表中添加的網站
回到攻擊機查看獲取的賬號密碼和Ettercap捕獲到的訪問記錄
登錄后
| 四、基礎問題回答 |
(1)通常在什么場景下容易受到DNS spoof攻擊?
攻擊機和靶機都在同一個網段里,比如公共WiFi。
(2)在日常生活工作中如何防范以上兩攻擊方法?
第一種:一定要仔細看域名,要看看有沒有證書,安全認證信息。
第二種:盡量不訪問http的網頁,實驗中可以知道https會阻止這種攻擊,而http不會。
| 五、實驗體會 |
本次實驗學會了如何利用各種工具克隆網頁。在整個過程中,dns欺騙沒有想象中的難,相反,通過簡單偽裝便能獲取個人信息。 我們需要更加警惕,在同一個子網中就能如此輕松地對對方進行攻擊(類似之前的后門程序),並且能將這個釣魚網站偽裝得如此相像,讓我們在未來的工作崗位上不得不加強對網絡攻擊的防范意識。