1.实验内容
1.1使用SET工具建立冒名网站;
1.2使用Ettercap进行DNS欺骗;1.3结合SET与Ettercap技术实施DNS欺骗钓鱼攻击;1.4提高防范意识,并提出具体防范方法。
2.实验目的
理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
3.实验环境
安装Kali镜像以及安装WinXP镜像的2台VMware虚拟机,具体配置如图所示:
4.实验过程与分析
4.1 使用SET工具建立冒名网站
4.1.1 建立冒名网站
SET,全称Social-Engineer Toolkit,是一款Kali Linux自带的专门用于社会工程学攻击的开源渗透测试社会工程学工具包。
在root用户下通过setoolkit命令启动SET工具。在第一个菜单中选择“1) Social-Engineering Attacks”,进行社会工程学攻击。
在第二个菜单中选择“2) Website Attack Vectors”,使用网页攻击向量模块。该模块通过创建恶意网站或克隆合法网站来欺骗用户,获取敏感信息或执行恶意操作。
在第三个菜单中选择“3) Credential Harvester Attack Method”,使用凭证收集攻击方法模块。该模块会将所输入的用户名、口令记录下来,并实时显示捕获的凭证信息。
在第四个菜单中选择“ 2) Site Cloner”,用于克隆网站。在接下来的IP中填入伪造网站的监听地址,此处填写Kali虚拟机的IP地址192.168.3.42.在目标网站的URL中输入被克隆的网站,此处选择克隆天翼快递的登录页面https://www.tykd.com/User/login/
** 4.1.2 验证欺骗效果**
在目标设备的浏览器中访问伪造网站的监听地址,发现能够得到一个与天翼快递登录页面高仿的页面,说明冒名网站初步搭建成功。
在冒名网站中输入登录邮箱和口令,发现在SET中可以抓取到明文的用户名与口令。
4.2 使用Ettercap进行DNS欺骗
4.2.1 进行DNS欺骗
Ettercap是一款功能强大的网络嗅探和中间人攻击工具,主要用于交换局域网环境下的渗透测试和安全评估。
为了能够进行嗅探和欺骗攻击,此处需要将网卡eth0设置为混杂模式,从而监听整个网络的数据流。使用命令ifconfig eth0 promisc可以将网卡eth0设置为混杂模式,使用命令ifconfig eth0查看设置情况,如果出现promisc则说明设置成功。
在root用户下使用命令vi /etc/ettercap/etter.dns编辑定义虚假DNS记录的etter.dns文件。
在文件中添加两条DNS记录,其中A记录表示IPv4地址映射。
www.tykd.com A 192.168.3.42 #将www.tykd.com这个具体域名解析到192.168.116.128
*.tykd.com A 192.168.3.42 #将所有以.tykd.com结尾的子域名都解析到192.168.116.128
使用命令route -n查看网关的IP地址,发现网关IP地址为192.168.116.2。
通过命令ettercap -G打开Ettercap工具的图形化界面,打开sniffing at startup,并且选择网卡为eth0,点击右上角的√进入。
点击左上角的放大镜图标scan for host,扫描局域网存活主机。再点击旁边的hosts list,可以看到扫描得到的主机。其中包含靶机Win XP(192.168.116.120)和网关(192.168.116.2)。
选中指定条目,将靶机加入target1,网关加入target2,顺序可调换。
点击地球图标MITM menu,选择ARP Poisoning,勾选Sniff remote connections并确认。这是因为我们要窃听目标主机与互联网的通信,所以选择中间人模式双向连接。
点击三竖点图标Ettercap menu,选择Plugins→Manage plugins→dns_spoof,双击dns_spoof。此插件会根据etter.dns文件中的配置规则篡改DNS解析。
{{976cae05988d5fbe8c45bcb1cbf846f2.png(uploading...)}}
** 4.2.2 验证欺骗效果**
在ettercap的下方的窗口中出现Activating dns_spoof plugin…说明DNS欺骗成功启动。
在靶机上ping天翼快递的域名,发现得到的IP是攻击主机的IP。
** 4.3 结合SET与Ettercap技术的DNS欺骗钓鱼攻击**
** 4.3.1 搭建冒名网站并进行DNS欺骗**
为了能够使用DNS欺骗引导用户访问冒名网站,需要结合SET与Ettercap。
重复4.1的步骤,使用SET搭建冒名网站,并确保它在80端口运行。在进行DNS欺骗时,将配置文件中的地址改成www.fake.net和*.fake.net,用于与正确的天翼快递的域名区分。
使用主机ping冒名网站的域名,发现可以ping通,而且IP地址确实为攻击者的IP。
在浏览器中访问www.fake.net,能够访问SET伪造的冒名网站,与天翼快递的网站高度相似。并在其中输入邮件地址和口令。
在SET的日志中,能够看到主机(192.168.3.43)访问冒名网站的记录,并且能够捕获到明文的邮箱信息与口令。
** 4.4 具体防范方法**
(1)普通用户
①优先访问 HTTPS 网站,浏览器会通过 SSL/TLS 证书验证服务器身份,有效防止被恶意重定向到钓鱼网站或遭遇数据篡改。
②访问银行、支付、社交账号等敏感网站时,仔细检查域名拼写和 URL 结构,避免被仿冒域名误导。
③不点击短信、社交平台、邮件中来路不明的链接,尤其是包含 “中奖”“积分兑换”“紧急通知” 等诱导性内容的链接;不随意下载非官方渠道的附件。
④定期更新浏览器,及时安装最新安全补丁,关闭浏览器自动保存密码、自动填充敏感信息等风险功能,降低漏洞被利用的概率。
⑤使用可靠的安全软件,开启实时防护,定期扫描设备,防范恶意程序窃取信息。
(2)专业人员
①使用 Wireshark、tcpdump 等网络分析工具捕获流量,重点检测异常 ARP 响应和异常 DNS 响应。
②借助 DNS 查询监控工具(跟踪域名解析过程,排查 DNS 劫持、缓存投毒等问题;部署 ARP 防火墙拦截伪造 ARP 包,启动 DNSSEC 验证确保域名解析的真实性。
③定期对网络设备进行安全巡检,检查 ARP 缓存表、DNS 配置是否存在异常,手动清除可疑缓存条目。
④在测试或工作环境中,使用虚拟专用网络隔离敏感操作,避免直接暴露在公网环境,减少被攻击的风险。
(3)管理员
①采用分层安全的网络结构,将网络划分为办公区、服务器区、DMZ 区等多个 VLAN,限制 ARP 广播域范围,降低 ARP 欺骗的影响面;配置交换机端口安全,绑定终端 MAC 地址与端口,限制单端口允许接入的 MAC 地址数量,防范 MAC 地址欺骗。
②完善日志审计体系,收集交换机、路由器、服务器的访问日志、流量日志、认证日志,定期复盘分析;建立异常行为检测机制,对频繁 ARP 请求、异常 DNS 查询、违规端口访问等行为触发告警。
③部署集中式 ARP 防护设备,在核心节点对 ARP 报文进行校验和过滤;全网启用 DHCP snooping,绑定 IP、MAC、端口三元组,防止恶意 DHCP 服务器分配虚假网络配置。
④定期对网络设备进行固件更新和安全配置加固,禁用不必要的服务和端口;对管理员账号设置强密码并定期更换,启用多因素认证,避免账号泄露导致网络被控制。