#20232408 2025-2026-1 《网络与系统攻防技术》实验七实验报告 - 20232408

1.实验内容
1.1使用SET工具建立冒名网站；

1.2使用Ettercap进行DNS欺骗；1.3结合SET与Ettercap技术实施DNS欺骗钓鱼攻击；1.4提高防范意识，并提出具体防范方法。

2.实验目的
理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。

3.实验环境
安装Kali镜像以及安装WinXP镜像的2台VMware虚拟机，具体配置如图所示：

4.实验过程与分析
4.1 使用SET工具建立冒名网站
4.1.1 建立冒名网站
SET，全称Social-Engineer Toolkit，是一款Kali Linux自带的专门用于社会工程学攻击的开源渗透测试社会工程学工具包。

在root用户下通过setoolkit命令启动SET工具。在第一个菜单中选择“1) Social-Engineering Attacks”，进行社会工程学攻击。

在第二个菜单中选择“2) Website Attack Vectors”，使用网页攻击向量模块。该模块通过创建恶意网站或克隆合法网站来欺骗用户，获取敏感信息或执行恶意操作。

在第三个菜单中选择“3) Credential Harvester Attack Method”，使用凭证收集攻击方法模块。该模块会将所输入的用户名、口令记录下来，并实时显示捕获的凭证信息。

 在第四个菜单中选择“ 2) Site Cloner”，用于克隆网站。在接下来的IP中填入伪造网站的监听地址，此处填写Kali虚拟机的IP地址192.168.3.42.在目标网站的URL中输入被克隆的网站，此处选择克隆天翼快递的登录页面https://www.tykd.com/User/login/

** 4.1.2 验证欺骗效果**
在目标设备的浏览器中访问伪造网站的监听地址，发现能够得到一个与天翼快递登录页面高仿的页面，说明冒名网站初步搭建成功。

在冒名网站中输入登录邮箱和口令，发现在SET中可以抓取到明文的用户名与口令。

4.2 使用Ettercap进行DNS欺骗
4.2.1 进行DNS欺骗
Ettercap是一款功能强大的网络嗅探和中间人攻击工具，主要用于交换局域网环境下的渗透测试和安全评估。

为了能够进行嗅探和欺骗攻击，此处需要将网卡eth0设置为混杂模式，从而监听整个网络的数据流。使用命令ifconfig eth0 promisc可以将网卡eth0设置为混杂模式，使用命令ifconfig eth0查看设置情况，如果出现promisc则说明设置成功。

在root用户下使用命令vi /etc/ettercap/etter.dns编辑定义虚假DNS记录的etter.dns文件。

在文件中添加两条DNS记录，其中A记录表示IPv4地址映射。

www.tykd.com A 192.168.3.42 #将www.tykd.com这个具体域名解析到192.168.116.128
*.tykd.com A 192.168.3.42 #将所有以.tykd.com结尾的子域名都解析到192.168.116.128

使用命令route -n查看网关的IP地址，发现网关IP地址为192.168.116.2。

通过命令ettercap -G打开Ettercap工具的图形化界面，打开sniffing at startup，并且选择网卡为eth0，点击右上角的√进入。

点击左上角的放大镜图标scan for host，扫描局域网存活主机。再点击旁边的hosts list，可以看到扫描得到的主机。其中包含靶机Win XP（192.168.116.120）和网关（192.168.116.2）。

选中指定条目，将靶机加入target1，网关加入target2，顺序可调换。
点击地球图标MITM menu，选择ARP Poisoning，勾选Sniff remote connections并确认。这是因为我们要窃听目标主机与互联网的通信，所以选择中间人模式双向连接。

点击三竖点图标Ettercap menu，选择Plugins→Manage plugins→dns_spoof，双击dns_spoof。此插件会根据etter.dns文件中的配置规则篡改DNS解析。

{{976cae05988d5fbe8c45bcb1cbf846f2.png(uploading...)}}

** 4.2.2 验证欺骗效果**

在ettercap的下方的窗口中出现Activating dns_spoof plugin…说明DNS欺骗成功启动。

在靶机上ping天翼快递的域名，发现得到的IP是攻击主机的IP。

** 4.3 结合SET与Ettercap技术的DNS欺骗钓鱼攻击**
** 4.3.1 搭建冒名网站并进行DNS欺骗**

为了能够使用DNS欺骗引导用户访问冒名网站，需要结合SET与Ettercap。

重复4.1的步骤，使用SET搭建冒名网站，并确保它在80端口运行。在进行DNS欺骗时，将配置文件中的地址改成www.fake.net和*.fake.net，用于与正确的天翼快递的域名区分。

使用主机ping冒名网站的域名，发现可以ping通，而且IP地址确实为攻击者的IP。

在浏览器中访问www.fake.net，能够访问SET伪造的冒名网站，与天翼快递的网站高度相似。并在其中输入邮件地址和口令。

在SET的日志中，能够看到主机（192.168.3.43）访问冒名网站的记录，并且能够捕获到明文的邮箱信息与口令。

** 4.4 具体防范方法**

（1）普通用户
①优先访问 HTTPS 网站，浏览器会通过 SSL/TLS 证书验证服务器身份，有效防止被恶意重定向到钓鱼网站或遭遇数据篡改。
②访问银行、支付、社交账号等敏感网站时，仔细检查域名拼写和 URL 结构，避免被仿冒域名误导。
③不点击短信、社交平台、邮件中来路不明的链接，尤其是包含 “中奖”“积分兑换”“紧急通知” 等诱导性内容的链接；不随意下载非官方渠道的附件。
④定期更新浏览器，及时安装最新安全补丁，关闭浏览器自动保存密码、自动填充敏感信息等风险功能，降低漏洞被利用的概率。
⑤使用可靠的安全软件，开启实时防护，定期扫描设备，防范恶意程序窃取信息。

（2）专业人员
①使用 Wireshark、tcpdump 等网络分析工具捕获流量，重点检测异常 ARP 响应和异常 DNS 响应。
②借助 DNS 查询监控工具（跟踪域名解析过程，排查 DNS 劫持、缓存投毒等问题；部署 ARP 防火墙拦截伪造 ARP 包，启动 DNSSEC 验证确保域名解析的真实性。
③定期对网络设备进行安全巡检，检查 ARP 缓存表、DNS 配置是否存在异常，手动清除可疑缓存条目。
④在测试或工作环境中，使用虚拟专用网络隔离敏感操作，避免直接暴露在公网环境，减少被攻击的风险。

（3）管理员
①采用分层安全的网络结构，将网络划分为办公区、服务器区、DMZ 区等多个 VLAN，限制 ARP 广播域范围，降低 ARP 欺骗的影响面；配置交换机端口安全，绑定终端 MAC 地址与端口，限制单端口允许接入的 MAC 地址数量，防范 MAC 地址欺骗。
②完善日志审计体系，收集交换机、路由器、服务器的访问日志、流量日志、认证日志，定期复盘分析；建立异常行为检测机制，对频繁 ARP 请求、异常 DNS 查询、违规端口访问等行为触发告警。
③部署集中式 ARP 防护设备，在核心节点对 ARP 报文进行校验和过滤；全网启用 DHCP snooping，绑定 IP、MAC、端口三元组，防止恶意 DHCP 服务器分配虚假网络配置。
④定期对网络设备进行固件更新和安全配置加固，禁用不必要的服务和端口；对管理员账号设置强密码并定期更换，启用多因素认证，避免账号泄露导致网络被控制。