Exp7 網路欺詐防範
Exp7 網路欺詐防範
目錄實驗原理
Linux apachectl命令可用來控制Apache HTTP伺服器的程式,用以啟動、關閉和重新啟動Web伺服器程序。
apachectl是slackware內附Apache HTTP伺服器的script檔案,可供管理員控制伺服器,但在其他Linux的Apache HTTP伺服器不一定有這個檔案。
語法apachectl [configtest][fullstatus][graceful][help][restart][start][status][stop]
- configtest 檢查設定檔案中的語法是否正確。
- fullstatus 顯示伺服器完整的狀態資訊。
- graceful 重新啟動Apache伺服器,但不會中斷原有的連線。
- help 顯示幫助資訊。
- restart 重新啟動Apache伺服器。
- start 啟動Apache伺服器。
- status 顯示伺服器摘要的狀態資訊。
- stop 停止Apache伺服器。
EtterCap是一個基於ARP地址欺騙方式的網路嗅探工具。
- 它具有動態連線嗅探、動態內容過濾和許多其他有趣的技巧。
- 它支援對許多協議的主動和被動分析,幷包含許多用於網路和主機分析的特性。
- 主要適用於交換區域網絡,藉助於EtterCap嗅探軟體,滲透測試人員可以檢測網路內明文資料通訊的安全性,及時採取措施,避免敏感的使用者名稱/密碼等資料以明文的方式進行傳輸。
實踐過程
任務一:簡單應用SET工具建立冒名網站
由於要將釣魚網站掛在本機的http服務下,所以需要將SET工具的訪問埠改為預設的80埠。
使用sudo vi /etc/apache2/ports.conf
命令修改Apache的埠檔案,將埠改為80,如下圖所示:
在kali中使用netstat -tupln |grep 80
命令檢視80埠是否被佔用。如果有,使用kill+程序號殺死該程序。如下圖所示,無其他佔用:
使用sudo systemctl status apache2
命令開啟Apache服務,Apache服務成功啟動,截圖如下:
輸入sudo setoolkit
開啟SET工具,截圖如下:
選擇1:Social-Engineering Attacks
選擇2:Website Attack Vectors
即釣魚網站攻擊向量
選擇3:Credential Harvester Attack Method
即登入密碼擷取攻擊
選擇2:Site Cloner
進行克隆網站
輸入攻擊機IP:172.16.226.133
,即Kali的IP,也可以直接按下Enter鍵
輸入被克隆某一個網站的url:我選擇的是雲班課使用者登入介面:https://www.mosoteach.cn/web/index.php?c=passport
在靶機上(我用的Windows)輸入攻擊機IP:172.16.226.133
,按下回車後跳轉到被克隆的網頁:
在kali上看
在克隆網站上我輸入使用者名稱以及密碼,在攻擊機上可以看到靶機的get請求資訊,還可以看到有關使用者名稱和密碼的資訊。
但是這個釣魚網站,偽裝實在太拙劣了,偽裝成一個較為正常的域名可以解決這點,通過網站URL Shortener可以將靶機IP偽裝成一串地址
-
也可以通過
http://[email protected]
來實現一個簡單的網頁跳轉 -
或者使用將ip地址轉換為十進位制數,以我們kali的ip地址為例,172.16.221.226,我們將它轉換為
172*256^3+16*256^2+221*256^1+226
=2886786530,我們在瀏覽器中輸入http://baidu.com@2886786530就能成功跳轉進入我們的釣魚網站。
任務二:ettercap DNS spoof
進入到root模式下,並使用ifconfig eth0 promisc
將Kali虛擬機器的網絡卡改為混雜模式;
輸入命令vi /etc/ettercap/etter.dns
對DNS快取表進行修改。如圖所示,可以新增幾條對網站和IP的DNS記錄,圖中的IP地址是我的kali主機的IP:
使用ettercap -G
開啟ettercap
預設Primary interface應該為eth0,如果不是,就改成eth0,點選√開始掃描
然後點選右上角的工具欄,掃描子網選擇Hosts、Scan for hosts,然後檢視掃描到的存活主機,點選Hosts、Host list
虛擬機器的閘道器為172.16.226.2,靶機Windows7的IP為172.16.226.130;將閘道器的IP新增到target1,將靶機IP新增到target2
選擇右上角的小圓圈標誌,點選arp poisoning,選擇sniff remote connections,點選OK確定
選擇右上角的工具欄Plugins、Manage the plugins
選擇dns_spoof,即DNS欺騙的外掛,雙擊後即可開啟
此時已經處於嗅探模式,在靶機中執行ping命令ping www.baidu.com,發現百度的IP已經更改成172.16.226.133
在Kali端看到反饋資訊如下:
任務三:結合應用兩種技術,用DNS spoof引導特定訪問到冒名網站
完成思路:綜合使用以上兩種技術,首先按照任務一的步驟克隆一個藍墨雲班課登入介面,而後通過任務二實施DNS欺騙,欲達到在靶機輸入網址www.baidu.com可以發現成功訪問我們的冒名網站
重複任務一,將藍墨雲班課地址與kali的IP172.16.226.133關聯
通過步驟2實施DNS欺騙,此時在靶機輸入網址www.baidu.com可以發現成功訪問我們的冒名網站,kali端可以監控收集靶機的登入資訊
成功!
基礎問題回答
1.通常在什麼場景下容易受到DNS spoof攻擊
公共網路環境容易受到DNS spoof攻擊
在同一區域網下容易受到DNS spoof攻擊
2.在日常生活工作中如何防範以上兩攻擊方法
不要隨便使用沒有安全保障的公共網路
開啟網頁的時候,注意檢視網址是否被篡改
使用入侵檢測系統,可以檢測出大部分的DNS欺騙攻擊
不連陌生且不設密的公共WiFi,給黑客機會
直接使用IP地址訪問,對個別資訊保安等級要求十分嚴格的WEB站點儘量不要使用DNS進行解析。
實驗感想
通過本次實驗,學習了利用各種工具克隆網頁,製作一個釣魚網站,通過監控可以獲取靶機賬號密碼資訊。同時也感慨網路環境並沒有我們想象的那麼安全。攻擊者不需要任何後門程式,只需要實現你的IP與某一個網站的對映就可以竊取個人資訊。在現實生活中,很可能因為自己的不留神,就造成資訊的洩露,還有連線公共網路時一定注意保護自己的資訊,不要瀏覽一些安全性低的網站,減少自己資訊洩露的可能。