20145317彭垚《网络对抗》Exp7 网络欺诈技术防范

基础问题回答

1. 通常在什么场景下容易受到DNS spoof攻击？
   • 在同一局域网下比较容易受到DNS spoof攻击，攻击者可以冒充域名服务器，来发送伪造的数据包，从而修改目标主机的DNS缓存表，达到DNS欺骗的目的；
   • 连公共场合的免费WiFi也容易受到攻击，尤其是那种不需要输入密码直接就可以连接的更加可疑。
2. 在日常生活工作中如何防范以上两攻击方法？
   • 可以将IP地址和MAC地址进行绑定，很多时候DNS欺骗攻击是以ARP欺骗为开端的，所以将网关的IP地址和MAC地址静态绑定在一起，可以防范ARP欺骗，进而放止DNS spoof攻击；
   • 直接使用IP登录网站，这种是最安全的，但是实际操作起来太麻烦，没有人会去记一个网站的IP地址；
   • 对于冒名网站，要做到不随便点来路不明的链接，或者在点之前可以先观察一下域名，查看其是否存在异常。

实践内容

实验环境

• 攻击机：Kali
• 靶机： windows XP SP3(English)

目录

• 应用SET工具建立冒名网站
• ettercap DNS spoof
• 用DNS spoof引导特定访问到冒名网站

实践过程记录

URL攻击实验前准备

• 首先保证kali主机和winxp靶机可以ping通

• apache的监听端口为80，为了使得apache开启后，靶机通过ip地址可以直接访问到网页，我们需要在终端中输入命令：netstat -tupln |grep 80，查看80端口是否被占用，并关闭占用的进程，发现我的被PID=557的进程占用了。

• 我们需要输入命令 kill 557 关闭进程，并再次查看

• 输入命令 sudo vi /etc/apache2/ports.conf将apache的配置文件中的监听端口修改为80

应用SET工具建立冒名网站

• 输入命令apachectl start打开apache2

• 新开一个终端窗口输入：setoolkit，进入选项，因为我们要看的是制作网站，所以选1社会工程学攻击

• 依然选择网页攻击

• 继续选择3，钓鱼网站攻击

-继续选择1

• 这里是设置POST返回地址，写kali虚拟机的192.168.11.128

• 选择google

• 我们可以直接访问192.168.11.128

• 输入用户名和密码后，可以看见转跳到了一个post.php

• 这个就是用于接受POST数据同时将页面转跳到正规页面的东西，之后我们访问硬盘的/var/www/目录，下面就是我们的钓鱼网站的内容，可以看到登录的用户名和密码

• 命令行中也会显示

• 开始进行伪装，登入：http://short.php5developer.com/，如下图所示输入kali的ip后，点击short，得到伪装地址

• 将得到伪装地址在靶机的浏览器中打开

• 过几秒，跳转到google登录界面

dns欺骗攻击

• 查看本机ip和网卡地址

• ping百度，查看百度的IP地址

• kali中输入ettercap -G开启ettercap，点击工具栏中的Sniff——>unified sniffing，在弹出的界面中选择ok

• 在工具栏中的host下点击扫描子网，并查看存活主机，点击host list 分别加入Target 1，Target 2

• 选择添加一个dns欺骗的插件，点击右上角的start开始sniffing，再ping一次，可以发现可以直接连接到kali

• 打开kali的apache的，登录百度，发现是我之前设置的网页

20145317彭垚《网络对抗》Exp7 网络欺诈技术防范