网络欺诈与防范
1.实验内容
1.1使用SET工具建立冒名网站;
1.2使用Ettercap进行DNS欺骗;
1.3结合SET与Ettercap技术实施DNS欺骗钓鱼攻击;
1.4提高防范意识,并提出具体防范方法。
2.实验目的
理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
3.实验环境
安装Kali镜像以及安装WinXP镜像的2台VMware虚拟机,具体配置如图1、2所示:
4.实验过程与分析
4.1 使用SET工具建立冒名网站
4.1.1 建立冒名网站
SET,全称Social-Engineer Toolkit,是一款Kali Linux自带的专门用于社会工程学攻击的开源渗透测试社会工程学工具包。
在root用户下通过setoolkit命令启动SET工具。在第一个菜单中选择“1) Social-Engineering Attacks”,进行社会工程学攻击。
在第二个菜单中选择“2) Website Attack Vectors”,使用网页攻击向量模块。该模块通过创建恶意网站或克隆合法网站来欺骗用户,获取敏感信息或执行恶意操作。
在第三个菜单中选择“3) Credential Harvester Attack Method”,使用凭证收集攻击方法模块。该模块会将所输入的用户名、口令记录下来,并实时显示捕获的凭证信息。
在第四个菜单中选择“ 2) Site Cloner”,用于克隆网站。在接下来的IP中填入伪造网站的监听地址,此处填写Kali虚拟机的IP地址192.168.3.42.在目标网站的URL中输入被克隆的网站,此处选择克隆天翼快递的登录页面https://www.tykd.com/User/login/
4.1.2 验证欺骗效果
在目标设备的浏览器中访问伪造网站的监听地址,发现能够得到一个与天翼快递登录页面高仿的页面,说明冒名网站初步搭建成功。
在冒名网站中输入登录邮箱和口令,发现在SET中可以抓取到明文的用户名与口令。
4.2 使用Ettercap进行DNS欺骗
4.2.1 进行DNS欺骗
Ettercap是一款功能强大的网络嗅探和中间人攻击工具,主要用于交换局域网环境下的渗透测试和安全评估。
为了能够进行嗅探和欺骗攻击,此处需要将网卡eth0设置为混杂模式,从而监听整个网络的数据流。
使用命令ifconfig eth0 promisc可以将网卡eth0设置为混杂模式,使用命令ifconfig eth0查看设置情况,如果出现promisc则说明设置成功。
在root用户下使用命令vi /etc/ettercap/etter.dns编辑定义虚假DNS记录的etter.dns文件。
在文件中添加两条DNS记录,其中A记录表示IPv4地址映射。
www.tykd.com A 192.168.3.42 #将www.tykd.com这个具体域名解析到192.168.3.42
*.tykd.com A 192.168.3.42 #将所有以.tykd.com结尾的子域名都解析到192.168.3.42
使用命令route -n查看网关的IP地址,发现网关IP地址为192.168.3.1。
通过命令ettercap -G打开Ettercap工具的图形化界面,打开sniffing at startup,并且选择网卡为eth0,点击右上角的√进入。
点击左上角的放大镜图标scan for host,扫描局域网存活主机。再点击旁边的hosts list,可以看到扫描得到的主机。其中包含靶机Win XP(192.168.3.44)和网关(192.168.3.1)。
选中指定条目,将靶机加入target1,网关加入target2,顺序可调换。
点击地球图标MITM menu,选择ARP Poisoning,勾选Sniff remote connections并确认。这是因为我们要窃听目标主机与互联网的通信,所以选择中间人模式双向连接。
点击三竖点图标Ettercap menu,选择Plugins→Manage plugins→dns_spoof,双击dns_spoof。此插件会根据etter.dns文件中的配置规则篡改DNS解析。
4.2.2 验证欺骗效果
在ettercap的下方的窗口中出现Activating dns_spoof plugin…说明DNS欺骗成功启动。
在靶机上ping天翼快递的域名,发现得到的IP是攻击主机的IP。
4.3 结合SET与Ettercap技术的DNS欺骗钓鱼攻击
4.3.1 搭建冒名网站并进行DNS欺骗
为了能够使用DNS欺骗引导用户访问冒名网站,需要结合SET与Ettercap。
重复4.1的步骤,使用SET搭建冒名网站,并确保它在80端口运行。
在进行DNS欺骗时,将配置文件中的地址改成www.fake.net和*.fake.net,用于与正确的天翼快递的域名区分。
此后重复4.2的其他步骤,先进行ARP毒化,再进行DNS欺骗,此处不再赘述。
4.3.2 验证欺骗效果
使用主机ping冒名网站的域名,发现可以ping通,而且IP地址确实为攻击者的IP。
在浏览器中访问www.fake.net,能够访问SET伪造的冒名网站,与天翼快递的网站高度相似。并在其中输入邮件地址和口令。
在SET的日志中,能够看到主机(192.168.3.43)访问冒名网站的记录,并且能够捕获到明文的邮箱信息与口令。
4.4 具体防范方法
(1)普通用户
①优先访问HTTPS网站,浏览器会验证服务器,防止被重定向到钓鱼网站。
②访问敏感网站时仔细检查域名拼写和URL结构。
③不点击来路不明的链接、钓鱼邮件等。
④定期更新浏览器,确保使用最新版本的安全补丁。
(2)专业人员
①使用网络分析工具,如Wireshark、DNS查询监控等检测异常的ARP响应和异常的DNS响应。
②部署ARP防火墙,启动DNSSEC验证。
(3)管理员
①使用安全的网络结构,将将网络划分为多个VLAN,限制ARP广播域配置交换机端口安全,限制MAC地址数量。
②完善日志审计,建立异常行为检测机制。
5.问题及解决
问题一:
在4.3结合SET与Ettercap技术时,我使用Win XP靶机访问冒名网站,发现网站的css信息丢失,并且输入用户名口令后,在SET的日志中并没有抓到用户名口令的信息。
解决一:
通过查阅资料后,我发现CSS信息丢失的原因可能是SET克隆网站时,CSS文件使用的是相对路径,而在Win XP的旧版浏览器中可能无法正确解析这些路径。
无法捕获用户名口令的原因可能是现代网站使用是AJAX或JavaScript提交表单,而Win XP的旧浏览器不支持这些技术,导致表单无法正常提交。后使用主机的浏览器重复上述操作,一切正常。
问题二:
我一开始使用的伪造域名是www.fake.com,但却发现使用了ARP毒化和DNS欺骗后,该域名无法被目标主机重定向到攻击者的IP地址。而是用www.fake.net后,一切正常。
解决二:
通过查阅资料后,我发现因为.com是全球最常用的顶级域名,很多系统会对.com域名有特殊的缓存策略并有额外的安全检查。而.net域名在日常使用中频率较低,很少在本地缓存中,需要实时查询,同时系统对.net域名的安全检查相对宽松。因此Ettercap的DNS欺骗更容易在.net中成功。
6.心得体会
本次实验我学习了网络欺诈与防范,学习的内容有:使用SET工具搭建冒名网站,使用Ettercap工具进行ARP欺骗与DNS欺骗,结合使用上述的技术实施DNS欺骗的钓鱼攻击。通过一系列的实践,我对于网络欺骗的内容有了一定的了解。
本次实验比较顺利,搭建冒名网站和进行ARP欺骗与DNS欺骗的步骤并不困难,唯一遇到的一点小问题是域名与IP的重定向问题和CSS格式丢失与表单提交失败的问题,很快能够解决。
在实验中我意识到了钓鱼攻击的低门槛与高迷惑性。一个精心构造的冒名网站,在技术层面足以以假乱真,普通用户几乎无法凭肉眼分辨。面对这些网络攻击,我们必须提高警惕。在技术层面,我们可以使用DNSSEC、SSL/TLS等安全协议来保护通信;在日常生活则需提升安全意识,谨慎点击链接,警惕社会工程学攻击的陷阱。
总而言之,在本次实验中,我学习了网络欺诈技术与防范,在实践中体会到网络欺骗技术的强大威力,也让我感受到网络威胁的无处不在。我相信本次的实验会对我未来在网络与系统攻防技术的学习有所帮助。
参考资料
社会工程攻击——setoolkit使用(含错误解决)
kali Linux 渗透测试 | ettercap图形界面(ARP 欺骗 + DNS欺骗)
