1. 实践内容
kali IP地址:192.168.198.151
本机 IP地址:172.30.2.232
靶机kali IP:192.168.198.147
本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有
(1)简单应用SET工具建立冒名网站
输入 setoolkit 及 y 启动SET工具
输入 1 选择社会工程攻击
输入 2 选择网站攻击载体
输入 3 选择凭证获取攻击
输入“2”选择站点克隆
输入kali攻击机的ip
输入被克隆的url,我选的是hao123网址导航
在靶机的浏览器中输入攻击机IP后跳转至被克隆网页
可以在kali中看到访问信息
(2)ettercap DNS spoof
输入 ifconfig eth0 promisc 将kali网卡更改为混杂模式
输入 vi /etc/ettercap/etter.dns 修改DNS缓存表
添加一条信息
输入 ettercap -G 启动ettercap
点击sniff、unified sniffing
点击确定,监听eth0网卡
点击Hosts、Scan for hosts扫描子网
点击Hosts、Hosts list查看存活主机
点击targets、current targets,将攻击机添加到target 1,靶机ip添加到target 2
点击plugins、Manage the plugins
双击dns_spoof
然后点击start、start sniffing选项开始嗅探
在靶机中输入ping www.hao123.com,可看到嗅探信息
嗅探信息中显示的是攻击机的IP
(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
首先同步骤一克隆baidu
然后同步骤二进行dns欺骗
在靶机中ping www.hao123.com,攻击机ip回应靶机
在靶机中登陆hao123,进入百度网页
2.基础问题回答
(1)通常在什么场景下容易受到DNS spoof攻击
- 连接不安全的公共网络时。
(2)在日常生活工作中如何防范以上两攻击方法
- 使用最新版本的DNS服务器软件,并及时安装补丁
- 关闭DNS服务器的递归功能。DNS服务器利用缓存中的记录信息回答查询请求或是DNS服务器通过查询其他服务获得查询信息并将它发送给客户机,这两种查询成为递归查询,这种查询方式容易导致DNS欺骗。
- 保护内部设备:像这样的攻击大多数都是从网络内部执行攻击的,如果你的网络设备很安全,那么那些感染的主机就很难向你的设备发动欺骗攻击。
- 不要依赖DNS:在高度敏感和安全的系统,你通常不会在这些系统上浏览网页,最后不要使用DNS。如果你有软件依赖于主机名来运行,那么可以在设备主机文件里手动指定。
- 使用入侵检测系统:只要正确部署和配置,使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。
- 使用DNSSEC: DNSSEC是替代DNS的更好选择,它使用的是数字前面DNS记录来确保查询响应的有效性,DNSSEC还没有广泛运用,但是已被公认为是DNS的未来方向,也正是如此,美国国防部已经要求所有MIL和GOV域名都必须开始使用DNSSEC。
3.实践总结与体会
本次实验由我本人完成,总体难度不大,就是在中间人监听部分一时分不出靶机和攻击机,最后只能开多一个kali靶机才把实验完成。这次实验让我们初步了解了dns欺骗的方式,也警醒了我们平时乱连wifi的不良习惯。