20232326 2025-2026-1 《网络与系统攻防技术》实验七实验报告

一、实验内容

本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。具体实践有
（1）简单应用SET工具建立冒名网站

（2）ettercap DNS spoof

（3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

二、实验过程

（一）实验环境准备

1. 硬件：两台虚拟机（一台作为攻击机，操作系统为Kali Linux；一台作为目标机，操作系统为Windows 10），确保两台设备处于同一局域网（如通过VMware的“仅主机模式”或“NAT模式”连接）。
2. 软件：攻击机预装SET工具（Kali Linux默认自带）、Ettercap工具（Kali Linux默认自带）；目标机安装浏览器（Chrome或Edge）、Wireshark（可选，用于抓取网络流量验证攻击效果）。
3. 前期配置：查看攻击机与目标机的IP地址（攻击机通过ifconfig命令，目标机通过ipconfig命令），确认两者网络互通（通过ping命令测试）。

（二）SET工具建立冒名网站

1. 启动SET工具：在Kali Linux终端输入setoolkit命令，进入SET主界面，按提示输入“1”（Social-Engineering Attacks，社会工程学攻击）。
2. 选择网站攻击类型：输入“2”（Website Attack Vectors，网站攻击向量），再输入“3”（Credential Harvester Attack Method，凭证收集攻击方法），通过该方法获取用户输入的账号密码。
3. 配置冒名网站：选择“2”（Site Cloner，网站克隆），输入攻击机的IP地址（用于接收目标机发送的凭证数据），再输入需要克隆的真实网站URL（如某电商平台登录页https://login.xxx.com）。
4. 启动冒名网站：SET工具自动克隆目标网站的页面样式，生成冒名网站并在攻击机上开启HTTP服务。此时终端会显示冒名网站的访问地址（即攻击机IP），提示“Credential Harvester is running”。
5. 测试冒名网站：在目标机浏览器输入攻击机IP，可看到与真实网站一致的登录页面；当目标机用户输入账号密码并提交后，攻击机终端会实时显示捕获到的敏感信息，验证冒名网站搭建成功。

（三）ettercap DNS spoof

1. 配置DNS欺骗规则：在Kali Linux终端输入leafpad /etc/ettercap/etter.dns命令，打开DNS解析配置文件，在文件末尾添加欺骗规则，格式为“目标域名 A 攻击机IP”（如www.xxx.com A 192.168.1.100，其中www.xxx.com为需要欺骗的真实域名，192.168.1.100为攻击机IP），保存并关闭文件。
2. 启动Ettercap工具：在终端输入ettercap -G命令，打开Ettercap图形化界面，点击“Sniff”→“Unified sniffing”，在弹出的窗口中选择攻击机的网卡（如eth0），点击“OK”进入嗅探模式。
3. 扫描局域网设备：点击“Hosts”→“Scan for hosts”，Ettercap自动扫描局域网内所有在线设备；扫描完成后点击“Hosts”→“Hosts list”，在列表中找到目标机的IP地址与对应的MAC地址，将其添加到“Target 1”（目标设备）。
4. 启用ARP欺骗（辅助DNS欺骗）：点击“Mitm”→“ARP poisoning”，在弹出的窗口中勾选“Sniff remote connections”，点击“OK”，通过ARP欺骗将攻击机伪装成网关，拦截目标机的网络流量。
5. 启动DNS欺骗：点击“Plugins”→“Manage the plugins”，在插件列表中找到“dns_spoof”（DNS欺骗插件），双击启用该插件；此时目标机对配置文件中“目标域名”的解析请求，会被 Ettercap 篡改，定向到攻击机IP。
6. 验证DNS欺骗效果：在目标机命令提示符中输入ping www.xxx.com，若返回的IP地址为攻击机IP（而非该域名的真实IP），且在目标机浏览器输入www.xxx.com时，显示“无法访问此网站”（此时尚未搭建对应网站），则说明DNS欺骗配置成功。

（四）结合两种技术实现定向引导

1. 前期准备：重复“SET工具建立冒名网站”的步骤，确保冒名网站正常运行（攻击机终端显示“Credential Harvester is running”）；同时确认Ettercap的ARP欺骗已启用，DNS欺骗规则已配置（目标域名为真实网站域名，解析IP为攻击机IP）。
2. 启动组合攻击：在Ettercap界面启用“dns_spoof”插件，此时目标机用户在浏览器输入真实网站域名（如www.xxx.com）时，DNS解析会被欺骗，自动跳转到攻击机上的冒名网站。
3. 验证攻击效果：目标机浏览器显示与真实网站一致的冒名登录页，用户输入账号密码后，攻击机终端可实时捕获到敏感信息，完整实现“DNS欺骗引导→冒名网站钓鱼”的组合欺诈流程；同时通过目标机的Wireshark抓取流量，可观察到DNS解析请求被篡改的数据包，进一步验证攻击原理。

三、问题及解决方案

问题1：使用SET工具克隆网站时，提示“Connection refused”（连接被拒绝），无法成功克隆目标网站

问题1解决方案：

1. 排查目标网站是否支持HTTP协议：部分主流网站（如淘宝、京东）仅支持HTTPS协议，而SET工具默认通过HTTP协议克隆网站，若直接输入HTTPS URL，可能因协议不兼容导致连接失败。此时需先确认目标网站是否提供HTTP访问（可在浏览器尝试输入http://www.xxx.com），若支持则使用HTTP URL进行克隆；若仅支持HTTPS，需在SET工具中开启HTTPS服务（在“Website Attack Vectors”中选择“4”（Tabnabbing Attack Method），或通过配置SSL证书实现，Kali Linux可通过openssl命令生成自签名证书）。
2. 检查攻击机网络连通性：确保攻击机可正常访问互联网（通过ping www.baidu.com测试），若网络不通，需检查虚拟机网络配置（如NAT模式下是否正确连接主机网络）；同时关闭攻击机的防火墙（输入ufw disable命令），避免防火墙拦截SET工具的网络请求。
3. 选择简单结构的目标网站：部分网站存在反爬机制或复杂的JavaScript渲染逻辑，可能导致SET工具克隆失败。可优先选择结构简单的登录页（如小型论坛、企业内部系统登录页），减少克隆难度。

问题2：Ettercap DNS欺骗已启用，但目标机ping目标域名时，仍返回真实IP地址，欺骗未生效

问题2解决方案：

1. 检查DNS欺骗规则配置：重新打开/etc/ettercap/etter.dns文件，确认规则格式正确（无多余空格、域名拼写无误、IP地址为攻击机正确IP），且规则未被注释（行首无“#”）。例如，若目标域名为www.xxx.com，规则需严格写为www.xxx.com A 192.168.1.100（“A”代表IPv4地址记录，不可省略）。
2. 确认ARP欺骗已正常启用：在Ettercap界面点击“Mitm”→“ARP poisoning”，确保“Sniff remote connections”已勾选；同时在攻击机终端输入arp -a命令，查看目标机的ARP缓存表，若目标机的网关IP对应的MAC地址为攻击机的MAC地址，说明ARP欺骗成功（攻击机已伪装成网关）；若未成功，需重新扫描目标设备并添加“Target 1”，关闭防火墙后重新启动ARP欺骗。
3. 清除目标机DNS缓存：目标机可能已缓存目标域名的真实IP，导致新的DNS请求直接使用缓存结果。在Windows 10目标机的命令提示符中输入ipconfig /flushdns命令，清除DNS缓存；之后再ping目标域名，即可看到解析结果变为攻击机IP。
4. 检查Ettercap插件是否正确启用：在Ettercap“Plugins”→“Manage the plugins”中，确认“dns_spoof”插件状态为“Enabled”（绿色对勾）；若未启用，双击插件名称启用，或重启Ettercap工具重新配置。

问题3：结合两种技术时，目标机通过DNS欺骗访问到冒名网站，但页面样式错乱（如图片缺失、排版异常）

问题3解决方案：

1. 确认SET工具克隆的网站资源完整性：SET工具的“Site Cloner”功能可能无法完全克隆网站的动态资源（如JavaScript文件、CSS样式表、图片等），导致页面错乱。可在攻击机的/var/www/html目录（SET工具默认的网站根目录）中查看克隆的文件，若缺失某资源文件，可手动从真实网站下载对应的文件（如通过浏览器“查看页面源代码”找到资源URL，用wget命令下载到/var/www/html目录），补充完整后刷新目标机浏览器。
2. 检查网站的绝对路径引用：部分真实网站的资源引用使用绝对路径（如https://static.xxx.com/img/logo.png），SET克隆后未修改路径，导致目标机访问冒名网站时，仍从真实网站加载资源，若网络环境限制（如攻击机无法访问真实网站的静态资源服务器），则资源加载失败。可通过文本编辑器打开/var/www/html目录下的index.html文件，将所有绝对路径修改为相对路径（如将https://static.xxx.com/img/logo.png改为./img/logo.png），并确保对应的资源文件已在相对路径下存在。
3. 降低目标网站复杂度：选择结构简单、静态资源较少的网站（如小型博客的登录页、企业官网的登录入口）进行克隆，减少动态资源对页面样式的影响，优先保证核心登录功能的正常显示与数据捕获。

四、学习感悟、思考等

通过本次实验，我不仅掌握了SET工具搭建冒名网站、Ettercap实现DNS欺骗的具体操作，更深入理解了两种技术结合的网络欺诈原理——冒名网站利用“视觉伪装”降低用户警惕，DNS欺骗则通过“流量劫持”实现定向引导，两者结合可精准针对特定用户实施钓鱼攻击，其隐蔽性与危害性远超单一技术。

实验过程中遇到的“克隆网站失败”“DNS欺骗不生效”等问题，让我意识到网络欺诈攻击的实施并非“一键完成”，而是需要对网络协议（如HTTP/HTTPS、DNS、ARP）、工具配置细节有清晰认知；同时也反向思考到，这些“攻击难点”正是防范此类欺诈的关键突破口——例如，网站采用HTTPS协议可大幅增加SET工具的克隆难度，设备定期清除DNS缓存、开启ARP欺骗检测功能，可有效抵御DNS欺骗攻击。

从安全防范角度出发，本次实验让我总结出三点具体防范建议：

1. 用户层面：不轻易点击陌生链接，访问网站时通过官方渠道获取域名（而非搜索引擎或短信链接），登录前检查浏览器地址栏是否有“HTTPS”标识与正确的域名（如防范“www.xxx.com”被篡改为“www.xxxy.com”），不向非官方页面输入账号密码等敏感信息。
2. 设备层面：在个人电脑、手机上安装正规杀毒软件与防火墙，开启“ARP防护”“DNS安全解析”功能（如使用公共DNS服务器8.8.8.8或114.114.114.114），定期执行DNS缓存清除操作，减少被流量劫持的风险。
3. 企业层面：核心业务网站强制启用HTTPS协议并配置EV SSL证书（地址栏显示绿色企业名称），通过技术手段检测并拦截异常的DNS解析请求与ARP欺骗行为，同时定期向用户推送网络安全防范教育，提升用户整体安全意识。

此外，我也深刻认识到“理解攻击原理是做好防范的前提”——只有亲身体验攻击工具的操作逻辑与漏洞利用方式，才能更精准地识别潜在风险点，制定更有效的防范策略。未来在学习网络安全知识时，需继续结合实践操作，平衡“攻击技术认知”与“防御能力提升”，树立全面的网络安全思维。