20155201 网络攻防技术实验七网络欺诈防范

一、实践内容

当自己的电脑和攻击机处于同一网段下，连了同一个无线之类的。

再打开网页后观察一下网址栏的网址，我记得以前看到过新闻上，假淘宝地址，只是改变了原本淘宝网址的顺序，但是可以获得用户的用户名和密码从而达到窃取钱财……然后是定期清理DNS缓存。

这次实验按照学长和同学的博客做，但是自己出了很多问题，尝试了比较多，也算是累积了经验和心理素质……一次一次的实验都像是在告诉自己要注意哪些漏洞以不被别人攻击，到现在感觉已经很警惕了哈哈，不过还是需要更多学习。

将SET工具的访问端口改为默认的80端口，使用sudo vi /etc/apache2/ports.conf命令修改Apache的端口文件，确保端口是80端口。
打开终端，查看是否有进程占用80端口：netstat -tupln | grep 80,如果看到有进程，用kill 进程号结束该进程。再检查是否有占用，确认没有后，进行下一步。
使用service apache2 start打开Apache服务
新建另一个终端，输入setoolkit打开SET工具
选择1 Social-Engineering Attacks->2 Website Attack Vectors->3 Credential Harvester Attack Method->2 Site Cloner
输入攻击机的IP地址10.211.55.5
输入被克隆的网站的url，这里我先尝试了百度，可以连接，但是不能记录击键就很难受
- 如果出现Do you want to attempt to disable Apache?这里选择y，Apache就关闭了。
重来，输入教务处网址http://192.168.200.83/cas/login，注意要是这个有登陆界面的，能输入学号的，方便记录击键
- 可以使用Url Shortener工具把kali的IP伪装成一个一看就不是IP地址的网址……
在靶机浏览器地址输入伪装好的地址，可以看到攻击机收到了链接提示
在靶机输入用户名和密码，攻击机可以获得全部记录

使用指令ifconfig eth0 promisc将kali网卡改为混杂模式；可以使用ipconfig查看eth0后面是不是写了[PROMISC]
输入命令vi /etc/ettercap/etter.dns对DNS缓存表进行修改，如图所示，添加几条对网站和IP的DNS记录，图中的IP地址是我的kali主机的IP：10.211.55.5
使用service apache2 start命令开启Apache，之前就是因为没开启，一直嗅探不成功

还是博客园自己的ip。
输入ettercap -G指令，开启ettercap，会自动弹出来一个大机居可视化界面
- 点击工具栏中的Sniff—>unified sniffing，然后在弹出的界面中选择eth0，即监听eth0网卡：
在工具栏中的Hosts下先点击Scan for hosts扫描子网，再点击Hosts list查看活跃主机，将kali网关GW的IP添加到target1，靶机IP添加到target2：
选择Plugins—>Manage the plugins，双击dns_spoof选择DNS欺骗的插件，可以看到变成*就是启用了
在xp中利用命令行ping www.cnblogs.com发现解析的地址变成了kali 的地址10.211.55.5

与此同时在ettercap上也成功捕获一条访问记录

综合使用以上两种技术，首先按照实践一的步骤克隆一个登录页面，在通过实践二实施DNS欺骗，在靶机Windows XP输入网址www.baidu.com可以发现成功访问我们的冒名网站：

可以看到，捕获了用户名和密码
- 本次实验为了区分，选择的域名和钓鱼网站是两个网址，如果使用的域名本身就是教务处的网址的话，不知道有多少同学的密码要被记录下来了，学籍信息凉凉。
PS：之前实践二总是出问题，很看脸，做实践三的时候先尝试了第一种顺序：先实践一，后实践二，结果不行，因为实践一中有一步要关闭Apache服务，关了之后DNS欺骗和嗅探都不会成功，改变顺序先实践二，再实践一才成功。