20181224《网络攻防技术》Exp7 网络欺诈防范
目录
相关知识点总结
ARP Spoofing
- ARP缓存机制
- static:在windows下使用
arp -s
静态查询IP与MAC地址的对应关系
- Dynamic:根据ARP应该更新
- ARP动态更新的机制:广播请求,单波应答。ARP应答包并非都是请求触发的,且接受者相信所有接收到的应答包,所以造成了ARP Spoofing
IP源地址欺骗
- 原理:发送数据包时,使用假的源IP地址
- 网关、路由器、防火墙一般不检查源IP地址。
DNS Spoofing
- 原理:攻击者冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址。
- 两种类型
实验内容
- 简单应用SET工具建立冒名网站
- ettercap DNS spoof
- 结合应用两种技术,用DNS spoof引导特定访问到冒名网站](
- 请勿使用外部网站做实验
实验步骤
简单应用SET工具建立冒名网站
- 查看80端口是否被占用
netstat -tupln |grep 80
若被占用就使用kill 进程号
进行删除
- 修改Apache的端口修改为80
sudo vi /etc/apache2/ports.conf
- 开启Apache服务
systemctl start apache2
- 输入攻击机IP:
10.1.1.108
,即Kali的IP
- 在提示后输入键盘
enter
,提示“Do you want to attempt to disable Apache?”,选择y
- 为了起到迷惑靶机的作用,我们将靶机IP伪装成一串地址:
- 在靶机输入(可能是错误的)用户名和密码,攻击机可全部获取:
ettercap DNS spoof
- 将kali网卡改为混杂模式
ifconfig eth0 promisc
- 对DNS缓存表进行修改
vi /etc/ettercap/etter.dns
,我添加的两条记录是(直接在最后加就可以了):
www.mosoteach.cn A 192.168.209.129 //IP要换成自己的kali主机IP
www.cnblogs.com A 192.168.209.129
- 点击左上角
Scan for hosts
扫描子网,再点击Hosts list
查看存活主机,在win7命令行中输入ipconfig
查看默认网关为192.168.209.2
- 将
kali网关的IP
即192.168.209.2
添加到Target1
,将靶机Win7的IP
即192.168.209.140 192.168.209.132
添加到Target2
- 点击左上角
Plugins
→Manage the plugins
,双击dns_spoof
选择DNS欺骗的插件
- 点击左上角
Start
→Start sniffing
开始嗅探,在靶机Win7命令行中输入ping www.mosoteach.cn
和ping www.cnblogs.com
(第1步在DNS缓存表中添加的网站),会发现解析的地址是攻击机kali的IP
- 回到kali,发现ettercap捕获到了一条访问记录
结合应用两种技术,用DNS spoof引导特定访问到冒名网站
- 按照任务一的步骤克隆一个登录页面,在靶机Win7的浏览器中输入kali的IP
http://192.168.209.129/
,跳转成功
- 按照任务二的步骤实施DNS欺骗,在靶机Win7的浏览器中输入在DNS缓存表中添加的一个网址,如
www.mosoteach.cn
,发现可以成功访问冒名网站,输入(假)用户名和密码
实验总结及问题回答
- 在同一局域网下比较容易受到DNS spoof攻击,所以就应该谨慎使用没有密码的公用网络
- 使用最新版本的DNS服务器软件,并及时安装补丁;
- 可以将IP地址和MAC地址进行绑定,很多时候DNS欺骗攻击是以ARP欺骗为开端的,所以将网关的IP地址和MAC地址静态绑定在一起,可以防范ARP欺骗,进而放止DNS spoof攻击。
- 使用入侵检测系统:只要正确部署和配置,使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击
- 谨慎使用公用网络
实验中遇到的问题及解决方法
重新定义了target1和target2,因为Windows7有两个地址,我就都写上去了