20192427 2021-2022-2 《網路與系統攻防技術》實驗七

• 20192427 2021-2022-2 《網路與系統攻防技術》實驗七
  • 一，實驗內容
    • 1.1實驗要求
    • 1.2實驗原理
  • 二，實驗過程
    • 2.1簡單應用SET工具建立冒名網站
    • 2.2 ettercap DNS spoof
    • 2.3 結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站。
  • 三，問題及解決方案
    • 問題一：複製的是學校的相關網站
    • 問題二：
  • 四，學習感悟以及思考

一，實驗內容

1.1實驗要求

本實踐的目標理解常用網路欺詐背後的原理，以提高防範意識，並提出具體防範方法。具體實踐有

（1）簡單應用SET工具建立冒名網站

（2）ettercap DNS spoof

（3）結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站。

1.2實驗原理

本實驗旨在運用釣魚網站技術，結合DNS欺騙攻擊實施網路欺詐行為。

DNS欺騙，是指篡改DNS應答報文並誘導使用者訪問釣魚頁面。當客戶端向DNS伺服器查詢域名時，本地DNS伺服器首先在本地快取中進行查詢，然後再本地資料庫進行查詢，如果沒有匹配資訊則向根伺服器或指定的DNS伺服器進行迭代查詢，每臺伺服器都重複類似的動作，當在某臺伺服器的資料庫中查詢到對應資訊後，查詢路徑中的所有伺服器都會在自己的快取中儲存一份複製，然後返回給路徑中的下一個伺服器。攻擊者根據DNS的工作原理，通過攔截和修改DNS的請求和應答包進行定向DNS欺騙，即只有目標主機查詢特定域名時，才修改返回的DNS應答為虛假IP，其他情況還是返回真實的DNS應答。所以說，當主機訪問特定域名時，其實訪問的是攻擊者指定的IP地址，這就實現了DNS欺騙。

DNS欺騙的手段主要有：

• 快取感染：直接攻擊DNS伺服器，將虛假的對映寫入到伺服器的快取或資料庫中。

• DNS資訊劫持：截獲並修改DNS主機A記錄、MX記錄和CNAME記錄應答報文。

• DNS重定向：截獲並修改DNS的NS記錄應答報文，返回虛假的DNS伺服器地址。

• Hosts劫持：修改目標主機的hosts檔案，寫入虛假的主機-IP對映。

  快取感染和Hosts劫持需要實現對目標主機或伺服器的遠端入侵 常用的DNS欺騙方法主要是DNS資訊劫持和重定向 常用工具 Cain&Abel、dnschef和Ettercap。

  Etteracp是本實驗用到的發起欺詐的工具，它是一款在MITM攻擊也就是中間人攻擊中廣泛使用的工具，通常只在Linux/UNIX平臺下執行，它具有強大的嗅探功能，提供了許多中間人攻擊外掛，包括我們用到的DNS欺騙。

二，實驗過程

2.1簡單應用SET工具建立冒名網站

1，使用如下命令檢視80埠是否被佔用（實驗中需要用http服務，需要使用80埠）

netstat -tupln |grep 80

2,使用如下命令，修改Apache的帶你看檔案，埠為80

sudo vim /etc/apache2/ports.conf  //更改apache2埠

3，使用如下命令開啟Apache伺服器，如果不能成功的開啟，那麼可以和埠被佔用有關。

systemctl start apache2

開啟服務後，使用如下命令開啟SET工具，並且初次開啟需要輸入“y”來同意下圖服務條款

setoolkit //開啟set工具

4，進入set工具可以看到選單中功能並可以進行選擇

Social-Engineering Attacks——社會工程學攻擊 

Penetration Testing (Fast-Track)——滲透測試（快速）

Third Party Modules——第三模組攻擊

Update the Social-Engineer Toolkit——更新社會工程師工具包

Update SET configuration——更新設定配置

Help, Credits, and About——幫助，信用和關於

Exit the Social-Engineer Toolkit——退出Social-Engineer Toolkit

輸入對應的數字即可進行相應的功能。

輸入1，進行社會工程學攻擊

輸入2，進行釣魚網站攻擊向量

輸入3，進行認證獲取攻擊

輸入2，進行站點克隆

5，輸入攻擊機Kali的ip地址，並且輸入要克隆的網站

6，在虛擬機器kali的瀏覽器中輸入ip地址192.168.19.166
並且輸入相應的email和password

7，錯誤操作

複製的是學校的相關網站

出現的是：the best way to use this attack is if username and password form fields are available，regardless，this captures all POSTs on a website //使用這種攻擊的最好方法是，如果使用者名稱和密碼錶單欄位是可用的，無論如何，它都會捕獲網站上的所有帖子

然後，輸入usrname和password都無法獲取

2.2 ettercap DNS spoof

1，使用如下命令將Kali的網絡卡改為混雜模式

ifconfig eth0 promisc

並檢視更改後的資訊

ifconfig eth0

2,修改kali中的DNA快取表
輸入如下命令並新增一條記錄

vi /etc/ettercap/etter.dns
www.mosoteach.cn A 192.168.19.166

3，然後使用ettercap -G開啟ettercap

並選擇eht0進行監聽

4，選擇“放大鏡”符號搜尋線上主機，然後點選“放大鏡”右邊的符合檢視線上主機列表，並且在此之前開啟靶機
靶機IP地址為：192.168.19.114

5，輸入命令netstat -rn，檢視虛擬機器kali的閘道器地址

可以看到閘道器地址為：
192.168.19.176

6，分別將閘道器地址192.168.19.176新增到“Target 1”，將靶機地址192.168.19.114
新增到“Target 2”

7，開啟【Pligins】——【Manage the plugins】

8，選擇dns_spoof

9，點選開始鍵，此時ettercap處於嗅探模式下工作

10，使用靶機ping之前存在DNS快取表中的網址目標網站www.mosoteach.cn

但是此時並沒有觀察到應該有得變化
此時想的問題可能是etho並不是我的橋接網絡卡的網絡卡名稱，只能重新再做一遍。

具體步驟和上面一樣需要更改的步驟為：
先使用ifconfig檢視網路資訊

確定橋接網絡卡對應的網絡卡名稱為eth2，

再將kali的交接網絡卡改為混雜模式

編輯ettercap的DNS表，將追加的資訊進行修改，改為

www.mosoteach.cn A 192.168.56.101

接著正常操作即可。最終得到的結果是靶機上ping目標網站www.mosoteach.cn，可以看到紅框所示的網路地址已經變成了kali的網路地址，欺騙成功

2.3 結合應用兩種技術，用DNS spoof引導特定訪問到冒名網站。

1，根據小實驗一，先克隆一個假冒網站，例如噹噹網，使得區域網內的主機訪問kali地址時就會訪問一個假的當當網頁。

2，然後根據小實驗二，新增一個DNS對映記錄，在噹噹網的網頁後面加上我們的網絡卡ip地址。這樣當局域網內的主機訪問當當網時，就會被騙到我們KAli的ip地址去

如果成功欺騙，那麼這樣的話，當靶機使用者需要進入購買東西時，登入賬號，我們就可以獲得他的賬戶，密碼資訊

三，問題及解決方案

問題一：複製的是學校的相關網站

出現的是：the best way to use this attack is if username and password form fields are available，regardless，this captures all POSTs on a website //使用這種攻擊的最好方法是，如果使用者名稱和密碼錶單欄位是可用的，無論如何，它都會捕獲網站上的所有帖子

然後，輸入usrname和password都無法獲取

解決方法：關掉虛擬機器，重新來一遍

問題二：

在進行實驗的目標一時，報錯

解決方法：將校園網切換成手機熱點，重新進行實驗

四，學習感悟以及思考

此次實驗的目的是如何正確的使用網路欺騙的攻擊手段，要運用相關工具，進行對應的步驟並且可以建立釣魚網站，獲取他人資訊。這使得我不僅學習了網路欺詐的相關知識，更明白要保護好個人隱私，對於那種不安全的網站，儘量不要登陸，不要隨意輸入自己的個人資訊，不但要學習網路攻防，更要做到自身在網路上的安全。