web安全day19:DNS欺骗、ARP攻击及钓鱼网站制作

最新推荐文章于 2023-09-28 14:25:33 发布
最新推荐文章于 2023-09-28 14:25:33 发布
阅读量3k 收藏 13
点赞数
分类专栏: web安全 文章标签: web安全 安全 网络 运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/122048663
版权
本文介绍了钓鱼网站的概念,强调社会工程学在安全攻防中的重要性,通过DNS欺骗和ARP攻击的实验,展示了如何利用虚假京东网站获取用户敏感信息。并提到了ettercap工具在捕获数据包中的应用。
摘要由CSDN通过智能技术生成

钓鱼网站

钓鱼网站是指欺骗用户的虚假网站。“钓鱼网站”的页面与真实网站界面基本一致,欺骗消费者或者窃取访问者提交的账号和敏感信息。钓鱼网站一般只有一个或几个页面,和真实网站差别细微。钓鱼网站是互联网中最常碰到的一种诈骗方式,通常伪装成银行及电子商务、窃取用户提交的银行账号、口令等私密信息的网站。

社会工程学

凯文·米特尼克在《反欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。你们可能永远都想象不到,对于骇客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻机手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何骇客软件,更注重研究人性弱点的骇客手法正在兴起,这就是社会工程学骇客技术。

社会工程学骇客常见伎俩:

  • 电话号码欺骗
  • 利用坏消息作案
  • 滥用网民对社交等网站的信任
  • 二维码引诱
  • 等等

钓鱼者运用社会工程学(social engineering)知识诱骗受害者,以在未授权情况下获取对方的姓名、年龄、邮箱账号、甚至是银行卡口令等私人信息

钓鱼往往和社会工程学相结合进行诱导,而社会工程学是骇客的内功,能否灵活运用可以体现一个骇客的个人修为,所以说“防人之心不可无”这句话并非没有道理,凡事不要害人但是总要留个心眼否则最终受伤的就是自己。

最低0.47元/天 解锁文章
信封同学
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[网络安全自学篇] 四十二.DNS欺骗钓鱼网站原理详解及防御机理
杨秀璋的专栏
01-30 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了中间人攻击ARP欺骗攻击,从ARP原理到局域网配置进行描述。这篇文章将详细讲解DNS欺骗DNS投毒)及钓鱼网站原理知识,并通过Ettercap工具复现某购物网站钓鱼漏洞,本文的重点是让您对ARP欺骗DNS欺骗钓鱼攻击有一定认识。真心希望这篇基础文章对您有所帮助,也欢迎大家讨论。
ARPDNS欺骗以及网站钓鱼分析
Yo_ol的博客
04-19 3913
实验目的 1、掌握ARP中间人攻击原理 2、掌握DNS欺骗原理 3、熟悉网站钓鱼的原理。 实验环境 VMware15.0、windows客户端、windows server2008、kali linux系统 jd网站站点素材、 ettercap工具 拓扑图: 实验内容 知识背景 钓鱼者运用社会工程学知识诱骗受害者,以在未授权情况下获取对方的姓名、年龄、邮箱账号、甚至银行卡密码等私人信息钓鱼往往和社会工程学相结合进行诱导,而社会工程学是黑客的内功,能否灵活运用可以体现一个黑客的个人..
黑客攻击入门:DNS欺骗ARP攻击钓鱼网站制作
weixin_43263566的博客
05-09 2033
DNS欺骗ARP攻击钓鱼网站制作
内网安全-arp欺骗dns劫持钓鱼
weixin_58782362的博客
11-05 1026
攻击机一直发送伪造的数据包,欺骗网关自己是靶机,欺骗靶机自己是网关,同时开启路由转发功能,就可以让靶机在正常上网的情况下截获网络数据包,所有数据都会经过攻击机再转发给靶机。攻击机伪造数据包后本应该传输给靶机的数据错误的传输给攻击机,使靶机得不到服务器的响应数据,甚至根本无法将数据包发送出局域网。在设置的规则中,记住选择有可能解析的域名,将三级域名解析成二级域名。arpspoof -i enth -t 目标 -r 网卡。dns劫持,在arp欺骗的基础上面进行劫持。使用ettercap kali自带。
网络安全基础(中间人攻击ARP欺骗、NDS欺骗、使用ettercap软件模拟攻击
Pluto.的博客
12-15 3943
文章目录网络安全基础一、中间人攻击1. 概述2. 攻击原理3. 模拟攻击 网络安全基础 一、中间人攻击 1. 概述 中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。 2. 攻击原理 利用ARP协议漏洞进行的攻击ARP欺骗; PC1给PC3发送数据:网络层(IP包) 10.1.1.1 10.1.1.3 端口号 Hello
DNS内网欺骗(仅供参考)
qq_45995380的博客
04-06 3582
DNS内网欺骗(仅供参考) 下面展示一些 内联代码片。 //启动apche2 systemctl start apache2 在/var/www/html/目录下添加index.html访问页面 //修改文件 leafpad /etc/ettercap/etter.dns //添加一下内容 * A 192.168.1.34 * PTR 192.168.1.34 *.*.com A 192.168.1.34 //* 表示所有 IP地址是自己本机的IP地址 //启动ettercap etterc
Day19:竞技场Day19
03-27
在今天的主题"竞技场Day19"中,我们聚焦于JavaScript这一重要的编程语言。JavaScript,通常简称为JS,是Web开发中的核心技术之一,主要用于增强网页的交互性和动态性。它是一种轻量级、解释型的脚本语言,由 ...
Day19:第19天
03-27
在“Day19:第19天”的学习主题中,我们很可能会深入探讨CSS的一些核心概念和技术,以提升网页设计的能力。 1. **CSS基本语法**: CSS使用选择器来定位HTML或XML元素,并应用样式规则。例如,`p {color: red;}` 将...
网络安全DNS欺骗钓鱼网站
IT之一小佬的博客
06-30 524
网络安全DNS欺骗钓鱼网站
ARP攻击DNS劫持,使被攻击者进入钓鱼网站
weixin_45116657的博客
06-13 2608
实验环境 钓鱼网站: 虚拟机Windows 2008搭建的网站攻击者: 物理机win10, 被攻击者: 虚拟机win7, 实验目的 通过DNS劫持,将被攻击者的域名请求解析为错误的IP地址(即,钓鱼网站的IP地址),并返回给被攻击者,使得被攻击者进入钓鱼网站,达到实验目的。 DNS劫持 DNS劫持又称域名,是指在劫持的网站范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求...
MIMT之DNS欺骗(钓鱼)
Mike_Roger的博客
02-07 1654
ettercap ettercap是一个强大的欺骗工具,能够让测试人员以极快的速度创建和发送伪造的包、从网络适配器到应用软件各种级别的包、绑定监听数据到一个本地端口等。是中间人攻击中常用到的辅助工具。 首先需要配置dns   gedit /etc/ettercap/etter.dns 添加 开启本地web服务, /etc/init.d/apache2 st
钓鱼网站实施过程
s322936的博客
06-03 2325
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯
详细描述钓鱼网站攻击的过程,发布到CSDN中,提交博客链接。
xx1726916387的博客
06-11 366
网络钓鱼与计算机病毒、木马程序不同, 它往往需要被攻击者主动配合才能发挥它的作用, 就是通过发送大量自称银行或其他机构的具有欺骗性的邮件, 引诱收信人泄露自身敏感信息的一种攻击方式。大型企业的日常工作中, 经常使用电子邮箱进行工作沟通、文件传输, 若遇到钓鱼邮件, 网络安全意识不强的员工往往会不经意间步入圈套, 输入自身敏感信息, 从而使不法分子拥有获取机密文件的权限, 易造成商业机密的泄露, 给企业带来不可估量的经济损失。 ...
钓鱼网站攻击过程
na1519的博客
06-09 2623
入侵行为分析之钓鱼网站攻击 2020.6.9 现如今,邮件、虚假网站、短信、电话等网络诈骗花样层出不穷,令人防不胜防。 尽管在安全技术人员眼里,网络钓鱼只是小菜一碟,但最近几年,网络钓鱼在全世界范围内变得非常猖獗,数量急剧攀升。面对层出不穷钓鱼网站,即使是高级的网络防火墙和强大的反病毒软件也无能为力。 最典型的网络钓鱼攻击是将受害者引诱到一个通过精心设计、与目标网站非常相似的钓鱼网站上,并获取受害者在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。 攻击原理 钓鱼网站攻击是指.
[网络安全学习篇23]:DNS欺骗与钓Y网站(千峰网络安全视频笔记 p114-p116)
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
04-08 2233
目录 DNS欺骗ARP攻击钓鱼网站制作 实现目标 具体实验步骤: DNS欺骗ARP攻击钓鱼网站制作 钓鱼者运用社会工程学只是诱骗受害者,以未授权情况下获取对方的姓名、年龄、邮箱账号、甚至是银行卡密码等私人信息 钓鱼往往呵社会工程学结合进行诱导,而社会工程学时黑客的内功,能否灵活运用可以体现一个黑客的个人修为,所以说防人之心不可无,。 社会工程学黑客常见伎俩: 电话号码...
本地DNS攻击原理与实例
hl1293348082的专栏
04-02 1253
DNS 是计算机域名系统 ( Domain NameSystem 或 Domain Name Service ) 的缩写,它是由域名解析器和域名服务器组成的。 简单来说,当用户申请访问一个域名时,首先会向 DNS 服务器发送请求包询问该域名的 IP 地址,即 DNS 解析的过程。DNS 的 Cache 中,包含一系列缓存的域名和对应 IP ,当客户端访问的域名在 Cache 中已缓存,则直接返回该域名对应 IP ;若未缓存,则该服务器向其他与之最接近的 DNS 服务器发送查询请求。 由上可知,DN.
网络安全学习篇27_阶段一小结篇_DNS欺骗钓鱼网站的防范
xiaosi的博客
07-25 551
上一篇博客:网络安全学习篇26_阶段一小结篇_kali中间人渗透 写在前面: 刚开始接触了一些关键词如渗透,sql注入,靶场等就发现对此方面挺感兴趣,毕竟有的人大大小小都有一个黑客梦,恰巧在 B站碰到了千峰网络培训发布的系列安全培训视频,系列课程大约有300多集,我决定利用空闲时间学习,把一些重要的笔记 记录下来。 我本身是网络小白,记录的可能不完整、全面,甚至出现错误,希望大家谅解指正,也欢迎大家来交流学习!!! 虽然我走的很慢,但我仍在前进!! 说明 我的千峰网络安全系列课程第一阶段基本学习完成,往期
web安全渗透之钓鱼网站提权
kali_Ma的博客
11-12 4370
要生成一个钓鱼网址链接,诱导用户点击,实验过程是让win7去点击这个钓鱼网站链接,则会自动打开一个文件共享服务器的文件夹,在这个文件夹里面会有两个文件,当用户分别点击执行后,则会主动连接到发起攻击的主机上,即可攻击成功:攻击成功后,想要从kali上传文件到win7中,后发现权限不够的问题,则进行提权操作,后成功上传文件win7和kaliKali:它是Linux发行版的操作系统,它拥有超过300个渗透测试工具,就不用自己再去找安装包,去安装到我们自己的电脑上了,毕竟自己从网上找到,也不安全
常见的十大网络安全攻击类型
最新发布
m0_71745903的博客
09-28 937
网络攻击是一种针对我们日常使用的计算机或信息系统的行为,其目的是篡改、破坏我们的数据,甚至直接窃取,或者利用我们的网络进行不法行为。你可能已经注意到,随着我们生活中越来越多的业务进行数字化,网络攻击的事件也在不断增加。网络攻击的种类繁多,是不是让你感到有些困惑?不用担心,接下来我将为你揭晓10大最常见的网络攻击类型。这样一来,你就能更深入地理解它们,也能更有效地防备这些网络攻击
软件漏洞分析入门
06-27
在看雪论坛出的0day安全前几章的介绍下,我们可以清晰地了解到此领域的重要性和深度。引子中的一句话"要成为一个改变“不可能”为“可能”的标点符号",不仅令人深思,更是对软件漏洞分析带来的无限可能性的一种憧憬...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值