实验七 网络欺诈与防范
1.实验内容及要求
本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有
(1)简单应用SET工具建立冒名网站
(2)ettercap DNS spoof
(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
2.实验过程
2.1简单应用SET工具建立冒名网站
查询资料得知,SET是社会工程学工具包(Social Engineering Toolkit)的缩写,是一款 “攻防演练工具”,本质用途是 安全测试(比如企业请白帽黑客测试员工是否会泄露密码、系统是否能抵御钓鱼攻击),但因功能强大且操作门槛低,也被不法分子滥用为恶意攻击工具
启动kali虚拟机,使用setoolkit命令或直接点击启动该工具,出现如图提示则启动成功
(下边是一大串介绍和宇宙安全声明,输入y继续)
根据给出的选项,我们选择1,对应冒名网站的社会工程学攻击
在二级菜单中选择2,也就是Website Attack Vectors网页攻击向量
三级菜单选择3,中文可译为 “凭证窃取攻击方法”,是一种典型的 社会工程学攻击技术,核心目标是 诱导用户主动输入敏感凭证(如账号密码、银行卡信息、验证码等),并暗中捕获、窃取这些信息。
选择Site Cloner工具(2)
根据提示输入对应的监听地址的ip 192.168.67.128
输入要克隆的站点地址,即可开始监听,这里使用天翼快递的登录界面https://www.tykd.com/User/login/
在另一台主机(这里选择我的PC电脑),在浏览器中输入kali的地址
发现成功登录了冒名网站,在PC主机上输入相关信息尝试登录
我们发现在监听端成功获取了相关登录信息
2.2使用EtterCap进行DNS欺骗
EtterCap是局域网内的 “流量拦截与分析工具”,核心能力是 “让攻击者成为两台设备(如用户电脑与路由器、用户与服务器)之间的‘数据中转站’”,从而捕获、篡改或伪造网络数据包。它常与社会工程学攻击(如之前提到的凭证窃取)结合
在开始实验之前先使用ifconfig eth0 promisc命令将网卡eth0设置为混杂模式,以监听经过所在网络的所有数据
输入ifconfig eth0验证是否成功,发现无误
这里使用WinXP作为靶机进行攻击操作
首先在kali上输入:
vi /etc/ettercap/etter.dns
以编辑EtterCap软件下的etter.dns文件,这个文件用于定义 DNS 欺骗规则的配置文件,它告诉 EtterCap 当目标设备发送DNS请求时,应该返回哪些伪造的IP地址,而非真实的DNS解析结果。
(注意要先获取root权限)
在文件后边加入如下内容:
www.tykd.com A 192.168.67.128
*.tykd.com A 192.168.67.128
这两条命令实现了将www.tykd.com以及所有以.tykd.com结尾的域名都解析到192.168.67.128,也就是kali主机上
输入ettercap -G打开Ettercap图形化界面,选择网卡为eth0,sniffing at startup开启,点击右上角√以确认设置并进入
点击放大镜图标扫描所在局域网的在线主机
点击右侧相邻图标打开主机列表
其中192.168.67.135就是我们xp虚拟机的ip
将该ip加入target1,将网关192.168.67.2加入target2
点击地球图标,选择ARP poisoning,点击ok
同时开启dns_spoof功能,点击右上角三个点的图标中选择Plugins选择manage Plugins,再双击dns_spoof
在下方看到如下提示就说明欺骗过程完成了
输入ipconfig /flushdns刷新缓存
在XP主机中进行测试:
输入ping www.tykd.com
发现这里虚拟机指向的ip并不是正确的网站ip,而是我们靶机的ip,欺骗成功
2.3结合SET与EtterCap进行DNS欺骗钓鱼攻击
(鉴于winxp实在太难访问近些年的网站,这里更换为win7主机)
简单来说就是上边两个步骤要同时运行,但是需要做出一些更改,因为SEToolKit只克隆了基础html页面,其内部的图片等资源还是原链接,当我们没有进行dns欺骗时,页面和原版是一模一样的,但是如果进行了dns欺骗,由于欺骗的域名一模一样,此时所有的资源都来自kali,但是我们的kali很明显是没有这些资源的,直接访问只能得到最基础的网页。
为了更好的模拟现实场景,我们做出如下更改:
再修改第二步中的/etc/ettercap/etter.dns文件,更改文件中的域名(加入我的学号),这样靶机浏览器就可以获取到正确的原本的资源
重新进行相关过程,在靶机浏览器访问www.tykd2301.com,访问成功,而且是完整版页面并非刚刚的简陋版页面
输入信息:
我们在kali靶机上成功捕获了相关信息!!
3.问题与解决方案
问题1:一开始利用Ettercap中没有成功攻击,会提示找不到主机或解析的ip地址不是kali(这里是重新复现此问题)
问题1解决方法:输入ipconfig /flushdns刷新缓存即可
4.学习感悟与思考
这次实验也相对简单,比起前边流程很长的实验来说轻松了不少,但是还是要感谢已经做完的同学排除了一系列问题,没有他们给出解决方法我又不知道会在一些问题上耗费多久的时间,本次实验算是又熟悉了几个工具,并且也算是真正实现了信息的窃取,可以看得出来这个工具还是很强大的,作为网安专业的学生,更应该要合理正确的的去应用他作为防护手段(问豆包问题时豆包求生欲也很强,疯狂提示我不要用于非法攻击)。这次实验总的来说还是非常顺利有趣的,让我受益匪浅。
集中式日志与分析平台 Sinks(.net8))
