Exp7 網路欺詐防範

• Exp7 網路欺詐防範
• 實驗原理
• 實踐過程
  • 任務一：簡單應用SET工具建立冒名網站
  • 任務二：ettercap DNS spoof
  • 任務三：結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站
• 基礎問題回答
• 實驗感想

實驗原理

Linux apachectl命令可用來控制Apache HTTP伺服器的程式，用以啟動、關閉和重新啟動Web伺服器程序。
apachectl是slackware內附Apache HTTP伺服器的script檔案，可供管理員控制伺服器，但在其他Linux的Apache HTTP伺服器不一定有這個檔案。
語法apachectl [configtest][fullstatus][graceful][help][restart][start][status][stop]

• configtest 檢查設定檔案中的語法是否正確。
• fullstatus 顯示伺服器完整的狀態資訊。
• graceful 重新啟動Apache伺服器，但不會中斷原有的連線。
• help 顯示幫助資訊。
• restart 重新啟動Apache伺服器。
• start 啟動Apache伺服器。
• status 顯示伺服器摘要的狀態資訊。
• stop 停止Apache伺服器。

EtterCap是一個基於ARP地址欺騙方式的網路嗅探工具。

• 它具有動態連線嗅探、動態內容過濾和許多其他有趣的技巧。
• 它支援對許多協議的主動和被動分析，幷包含許多用於網路和主機分析的特性。
• 主要適用於交換區域網絡，藉助於EtterCap嗅探軟體，滲透測試人員可以檢測網路內明文資料通訊的安全性，及時採取措施，避免敏感的使用者名稱/密碼等資料以明文的方式進行傳輸。

實踐過程

任務一：簡單應用SET工具建立冒名網站

由於要將釣魚網站掛在本機的http服務下，所以需要將SET工具的訪問埠改為預設的80埠。
使用sudo vi /etc/apache2/ports.conf命令修改Apache的埠檔案，將埠改為80，如下圖所示：

在kali中使用netstat -tupln |grep 80命令檢視80埠是否被佔用。如果有，使用kill+程序號殺死該程序。如下圖所示，無其他佔用：

使用sudo systemctl status apache2命令開啟Apache服務，Apache服務成功啟動，截圖如下：

輸入sudo setoolkit開啟SET工具，截圖如下：
選擇1：Social-Engineering Attacks

選擇2:Website Attack Vectors即釣魚網站攻擊向量

選擇3:Credential Harvester Attack Method即登入密碼擷取攻擊

選擇2:Site Cloner進行克隆網站

輸入攻擊機IP：172.16.226.133，即Kali的IP，也可以直接按下Enter鍵

輸入被克隆某一個網站的url：我選擇的是雲班課使用者登入介面：https://www.mosoteach.cn/web/index.php?c=passport

在靶機上（我用的Windows）輸入攻擊機IP：172.16.226.133，按下回車後跳轉到被克隆的網頁：

在kali上看

在克隆網站上我輸入使用者名稱以及密碼，在攻擊機上可以看到靶機的get請求資訊，還可以看到有關使用者名稱和密碼的資訊。

但是這個釣魚網站，偽裝實在太拙劣了，偽裝成一個較為正常的域名可以解決這點，通過網站URL Shortener可以將靶機IP偽裝成一串地址

• 也可以通過http://[email protected]來實現一個簡單的網頁跳轉

• 或者使用將ip地址轉換為十進位制數，以我們kali的ip地址為例，172.16.221.226，我們將它轉換為172*256^3+16*256^2+221*256^1+226=2886786530，我們在瀏覽器中輸入http://baidu.com@2886786530就能成功跳轉進入我們的釣魚網站。

任務二：ettercap DNS spoof

進入到root模式下，並使用ifconfig eth0 promisc將Kali虛擬機器的網絡卡改為混雜模式；

輸入命令vi /etc/ettercap/etter.dns對DNS快取表進行修改。如圖所示，可以新增幾條對網站和IP的DNS記錄，圖中的IP地址是我的kali主機的IP：

使用ettercap -G開啟ettercap

預設Primary interface應該為eth0，如果不是，就改成eth0，點選√開始掃描

然後點選右上角的工具欄，掃描子網選擇Hosts、Scan for hosts，然後檢視掃描到的存活主機,點選Hosts、Host list

虛擬機器的閘道器為172.16.226.2，靶機Windows7的IP為172.16.226.130；將閘道器的IP新增到target1，將靶機IP新增到target2

選擇右上角的小圓圈標誌，點選arp poisoning，選擇sniff remote connections，點選OK確定

選擇右上角的工具欄Plugins、Manage the plugins
選擇dns_spoof，即DNS欺騙的外掛,雙擊後即可開啟

此時已經處於嗅探模式，在靶機中執行ping命令ping www.baidu.com，發現百度的IP已經更改成172.16.226.133

在Kali端看到反饋資訊如下：

任務三：結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站

完成思路：綜合使用以上兩種技術，首先按照任務一的步驟克隆一個藍墨雲班課登入介面，而後通過任務二實施DNS欺騙，欲達到在靶機輸入網址www.baidu.com可以發現成功訪問我們的冒名網站

重複任務一，將藍墨雲班課地址與kali的IP172.16.226.133關聯

通過步驟2實施DNS欺騙，此時在靶機輸入網址www.baidu.com可以發現成功訪問我們的冒名網站，kali端可以監控收集靶機的登入資訊

成功！

基礎問題回答

1.通常在什麼場景下容易受到DNS spoof攻擊
公共網路環境容易受到DNS spoof攻擊
在同一區域網下容易受到DNS spoof攻擊

2.在日常生活工作中如何防範以上兩攻擊方法
不要隨便使用沒有安全保障的公共網路
開啟網頁的時候，注意檢視網址是否被篡改
使用入侵檢測系統，可以檢測出大部分的DNS欺騙攻擊
不連陌生且不設密的公共WiFi，給黑客機會
直接使用IP地址訪問，對個別資訊保安等級要求十分嚴格的WEB站點儘量不要使用DNS進行解析。

實驗感想

通過本次實驗，學習了利用各種工具克隆網頁，製作一個釣魚網站，通過監控可以獲取靶機賬號密碼資訊。同時也感慨網路環境並沒有我們想象的那麼安全。攻擊者不需要任何後門程式，只需要實現你的IP與某一個網站的對映就可以竊取個人資訊。在現實生活中，很可能因為自己的不留神，就造成資訊的洩露，還有連線公共網路時一定注意保護自己的資訊，不要瀏覽一些安全性低的網站，減少自己資訊洩露的可能。