(一)简单应用SET工具建立冒名网站
1-安装setoolkit
2-使用网站克隆建立一个冒名网站
3-改进冒名网站的链接
4-使用网站模板建立一个冒名网站
(二)ettercap DNS spoof
1-准备dns欺骗的配置文件
2-使用ettercap进行dns欺骗
(三)用DNS spoof引导特定访问到冒名网站
1-使用set建立冒名网站
2-用ettercap进行dns欺骗
3-ubuntu查看效果
实验体会
基础问题回答
问题1
问题2
理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
简单应用SET工具建立冒名网站
ettercap DNS spoof
结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
我的 kali 刚进入 SET 就报错了......
从 github 上再搞一个
git clone https://github.com/trustedsec/social-engineer-toolkit.git cd social-engineer-toolkit pip3 install -r requirements.txt python3 setup.py
运行 setoolkit ,依次选择
这样,kali 的 SET 就成功克隆了一个一模一样的冒名网站。
我们 win10 尝试登陆,SET 成功捕获了数据包,并解析出了疑似密码的参数。
用 URI 的统一格式进行对冒名网站的 URL 进行改造
[协议名]://[用户名]:[密码]@[服务器地址]:[服务器端口号]/[路径]?[查询字符串]#[片段ID]
http://www.besti.edu.cn@192.168.144.151
然后我们把 IP 地址由点分10进制,改成没有点分割的。
IP = 192 * 256^3 + 168 * 256^2 + 144 * 256^1 + 151
= 3232272535
URL : http://www.besti.edu.cn@3232272535
也能成功访问到冒名网站
之前都和 2(第二部分) 一样 ,最后选项选 1) Web Templates
然后我们选一个谷歌的模板吧 2. Google
然后 win10 登陆,SET 就捕获到了邮箱和密码(红字部分)
sudo vim /etc/ettercap/etter.dns //将被欺骗的主机的哪些域名解析,定向到哪个 IP 地址 www.baidu.com A 192.168.144.151
补充知识:
PTR记录,是电子邮件系统中的邮件交换记录的一种;另一种邮件交换记录是A记录(在IPv4协议中)或AAAA记录(在IPv6协议中)。PTR记录常被用于反向地址解析。
简而言之:A记录解析域名到IP地址,而PTR记录解析IP地址到域名。
先将网卡设置为混杂模式
ifconfig eth0 promisc
ettercap
sudo ettercap -G //启动 选网卡,点击对号 然后点击搜索图标,扫描存活主机 然后点击列表,查看扫描结果
使用 netstat -rn
找到网关 IP , add to target 1
然后把受害者 IP add to target 2
plugins -> managePlugins -> dns_spoof,找到dns欺骗插件,双击
这时候 dns 欺骗就开始了
受害者 ping 百度,IP 地址返回的是 kali 的 IP
这回克隆 主机 win10 上的 flowershop/login.html, 页面是一样的。
换一个域名,把 www.besti.edu.cn 的域名,解析成 kali 的 IP
sudo vim /etc/ettercap/etter.dns //将被欺骗的主机的哪些域名解析,定向到哪个 IP 地址 www.besti.edu.cn A 192.168.144.151
之后还是之前那一套
使用 netstat -rn
找到网关 IP , add to target 1
然后把受害者 IP add to target 2
plugins -> managePlugins -> dns_spoof,找到dns欺骗插件,双击
这时候 dns 欺骗就开始了
访问 www.edu.besti.cn,结果定位到了 kali 的 set 冒名网站
输入用户名、密码
kali 的 SET 也是成功发现了用户名和密码
不得不感慨工具的强大。SET(冒充网站) + ettercap(顶替 DNS 服务器) ,直接强制局域网内的主机访问恶意网站,就算一个没学过计算机知识的小白,也很容易上手。
现在的这种防范措施多数还是要靠厂商啊,对网络基础设备提供更多的安全性功能支持。
其实局域网里面一般也都比较安全。大家一般都是一家人,只要注意别轻易连入陌生的局域网里面,就能避免多数的这样的问题。
通常在什么场景下容易受到DNS spoof攻击?
当我们在同一局域网下容易收到DNS spoof攻击。
在本次实验中,DNS 欺骗是基于 arp 欺骗的,要先用 arp 欺骗冒充网关,然后提供假冒的 DNS 服务。
再就是真正黑掉一个 DNS 服务器,这样就不用在一个局域网,也能实现 DNS 欺骗,但是这个难度比较大。
在日常生活工作中如何防范以上两攻击方法?
对于来源不明的网络不要连接
安装 arp 欺骗防火墙,能防范一些 arp 欺骗。
注意浏览器的安全提示。