一、实验过程
1.简单应用SET工具建立冒名网站
(1)要将钓鱼网站挂在本机的http服务下,需要将SET工具的访问端口改为默认的80端口。使用 vi /etc/apache2/ports.conf 命令修改Apache的端口文件,将端口改为80
(2)使用 netstat -tupln |grep 80 命令查看80端口是否被占用。如果有,使用kill+进程号消灭
该进程(图中说明无进程占用)
(3) apachectl start 开启Apache服务
(4) setoolkit 打开SET工具
【1】选择“1”,行社会工程学攻击
【2】选择“2”,钓鱼网站攻击向量
【3】选择“3”,登录密码截取攻击
【4】选择“2”,进行克隆网站
【5】输入攻击机的IP地址,即kali的IP地址
【6】输入被克隆的url
(5)为了具有一定的迷惑性,将靶机IP缩短伪装成一个短地址
(6)在另一台机器访问该地址,在表单中输入身份信息等进行登录,发现Kali已经截获用户名和密码
2.ettercap DNS spoof
(1)使用指令 ifconfig eth0 promisc 将kali网卡改为混杂模式
(2)输入命令 vi /etc/ettercap/etter.dns 对DNS缓存表进行修改,如图所示,可以添加几条对网站和IP的DNS记录,图中的IP地址是kali的IP地址
(3)输入 ettercap -G 指令,开启ettercap
,会自动弹出来一个ettercap的可视化界面,点击工具栏中的 Sniff——>unified sniffing ,然后在弹出的界面中选择 eth0->ok ,即监听eth0网卡
(4)在工具栏中的Hosts下先点击 Scan for hosts 扫描子网,再点击 Hosts list 查看存活主机
(5)将网关的IP添加到target1,靶机IP添加到target2
(6)选择 Plugins—>Manage the plugins ,双击 dns_spoof 选择DNS欺骗的插件
(7)然后点击左上角的start选项开始嗅探,此时在靶机中用命令行 ping www.baidu.com 会发现解析的地址是攻击机的IP地址
(8)此时在ettercap上也成功捕获一条访问记录
3.结合应用两种技术,用DNS spoof引导特定访问到冒名网站
结合两种技术,就是要同时打开两个终端,同时进行上面实验,以达到输入一个正规网址,回跳转到kali的ip,紧接着就会跳转到克隆的网站,实现钓鱼网站。
靶机访问www.baidu.com,输入信息登录(刚刚配置etter.dns文件时,已将www.baidu.com网址与kali的IP对应)
ettercap成功捕获访问记录,命令行中也获得了输入的用户名和密码
二、问题回答与感想
1.问题
(1)通常在什么场景下容易受到DNS spoof攻击?
同一局域网中、开放的网络环境
(2)在日常生活工作中如何防范以上两攻击方法
【1】使用最新版本的DNS服务器软件,并及时安装补丁
【2】静态绑定IP地址、MAC地址(不过此方法局限性太大)
【3】不点开不明来路的陌生链接
【4】使用入侵检测系统
【5】尽量不连接公共开放的网络环境
2.感想
相比利用彩虹表等各种字典暴力破解用户名和密码等,通过网络钓鱼欺诈方式获取信息要快捷方便得多,只要在同一局域网内,成功获得密码的概率与速度会大大提升。
所以,多加注意DNS欺骗,加强防范网络钓鱼吧。。。