1. 实验内容
1.1 实验要求
(1)应用SET工具建立冒名网站。
(2)利用ettercap完成DNS欺骗攻击。
(3)结合应用两种技术,使被攻击者会通过域名访问到冒名网站。
(4)结合攻击过程,提出具体防范方法。
1.2 学习内容
(1)学习SET工具和ettercap工具的使用。
(2)理解ARP污染、DNS欺骗攻击的原理和具体过程。
(3)理解钓鱼网站的原理,了解有效防范措施。
1.3 IP查看
kali IP
Window Server 2016 IP
2. 实验过程
2.1 简单应用SET工具建立冒名网站
SET工具,全称Social-Engineer Toolkit(社会工程学工具集),是一款专门设计用于执行社会工程学攻击的开源渗透测试框架。
接下来,我们使用命令setoolkit打开SET工具
我们可以看到这里有很多可选项,这里我们选择第一项,表示进行社会工程学攻击
接下来我们选择第二项,表示网页攻击向量,通常涉及创建钓鱼网站以窃取用户凭据或执行其他恶意活动
然后我们再选择第三项,表示通过创建虚假的登录页面或钓鱼网站,收集用户的凭证信息
然后选择第二项,表示我们要进行克隆网页,接下来在IP中填入伪造网站的监听地址,即填写Kali虚拟机的IP地址192.168.46.128,在目标网站的URL中输入被克隆的网站,此处选择克隆天翼快递的登录页面https://www.tykd.com/User/login/,然后在物理机上输入kali虚拟机IP地址192.168.46.128即可访问克隆网站,然后我们可以得到一个高仿页面
然后我们输入信息,我们可以看到在虚拟机上可以看到我们的邮箱和密码
2.2 Ettercap DNS spoof
Ettercap是一个功能强大的网络嗅探和中间人攻击工具,主要用于网络安全测试和分析。
利用命令ifconfig eth0 promisc将网卡改成混杂模式,从而可以接收任意数据包。
利用命令vi /etc/ettercap/etter.dns开始编辑文件,这是Ettercap工具用于定义DNS记录和进行DNS欺骗攻击的配置文件。
在文件中添加两条DNS记录:www.baidu.com A 192.168.46.128 *.baidu.com A 192.168.46.128
接下来,物品们使用命令route -n查看网关,得到IP地址为192.168.46.1
利用命令ettercap -G打开工具的命令行界面。
点击右上角的√,再点击左上角的放大镜图标,扫描局域网得到存活主机,其中包含靶机Windows Server 2016的ip地址192.168.46.130,网关的IP地址192.168.46.1
将Windows Server 2016加入target2,将网关加入target1
点击右上角的地球图标打开MITM菜单,点击ARP poisoning,再点击OK
接下来,点击上方三点标志,选择Plugins→Manage plugins→dns_spoof,双击dns_spoof
在Windows Server 2016中ping www.baidu.com,发现这一域名对应的是kali虚拟机的IP地址,说明DNS欺骗攻击成功
2.3 结合应用两种技术,用DNS spoof引导特定访问到冒名网站
我们选择依旧选择天翼快递,重复之前的步骤,开始克隆网站https://www.tykd.com/User/login/
使用命令vi /etc/ettercap/etter.dns ,添加三条命令
tykd.com A 192.168.46.128
*.tykd.com A 192.168.46.128
www.tykd.com A 192.168.46.128
接下来,我们再次使用命令ettercap -G将Ettercap打开,使用与之前同样的步骤,先得到网关、攻击对象的IP地址,设置为target,再攻击ARP缓存表,最后双击开启dns_spoof。
接下来我们使用命令ping www.tykd.com,可以看到能够ping通,并且IP为kali虚拟机IP
我们登录页面并且尝试登录,发现可以获取邮箱和密码
2.4 提出具体防范方法
对于网络管理员:
实施严格的安全配置:为网络设备配置安全策略,明确禁止来自未经授权端口的ARP流量。
部署流量监控与分析工具:安装先进的流量分析工具,实时监控网络流量,并结合IPS/IDS(入侵预防/检测系统)来识别异常活动。当检测到大量异常的ARP请求或应答时,应立即视为ARP欺骗的潜在迹象,并采取相应的应对措施。
利用静态ARP表进行防御:构建并维护一个静态ARP表,确保正确的MAC地址与IP地址的对应关系。这是防御ARP攻击的一种简单而高效的方法。
加强DNS系统的安全性:通过实施DNSSEC(域名系统安全扩展),为DNS查询和响应提供数据完整性和真实性验证。这有助于防止DNS欺骗攻击,确保用户能够安全地访问正确的网站。
定期更新与升级:确保网络设备、安全软件和操作系统都保持最新版本,以修复已知的安全漏洞,并启用最新的安全功能。
对于用户:
提高网络安全意识:在访问网站时,始终保持警惕,注意观察网站的域名、样式和内容是否与平时一致。任何微小的差异都可能是钓鱼网站的迹象。
避免在不安全的网站上输入敏感信息:若网站没有可信的安全证书,避免输入个人信息、银行账户密码或其他敏感数据。
谨慎点击链接:避免点击来路不明的链接,特别是那些通过电子邮件、社交媒体发送的链接。这些链接可能会引导用户访问恶意网站,从而遭受网络攻击。
使用安全的浏览器和插件:选择知名的、经过安全认证的浏览器和插件,并定期更新它们以修复安全漏洞。
3. 问题及解决方案
问题1:扫描端口无法找到Window Server 2016的IP
解决方案1:我咨询AI后,它给我的解答是Windows Server 2016的安全机制拦截了扫描,它给我的解决方案是尝试防火墙再重新扫描,但是我的Windows Server 2016一直处于关闭状态,我尝试重启Windows Server 2016后,成功扫描到Windows Server 2016的IP
问题2:测试DNS欺骗时,我发现访问baidu.com依旧是它本身的网址,而访问www.baidu.com则成功访问到我的kali虚拟机IP
解决方案2:咨询AI后可知,有些DNS欺骗工具(比如旧版Ettercap)对*.baidu.com的泛解析支持不够稳定,可能需要单独写baidu.com的精确规则(即使有泛域名),因为工具会优先匹配更精确的域名规则
4.4.学习感悟及思考
通过本次“SET钓鱼网站搭建+Ettercap DNS欺骗”实验,我既掌握了社会工程学工具与中间人攻击的实操逻辑,更真切体会到网络攻击的低成本和隐蔽性——仅需简单配置就能克隆仿真页面、通过ARP污染+DNS欺骗引导目标访问恶意站点。推己及人,不难发现信任是用户最易被突破的防线。实验中因细节疏漏,如泛域名匹配范围、靶机网络状态遇到的问题,也让我明白攻防的核心在于细节把控:管理员的静态ARP绑定、DNSSEC配置,用户的证书核查、域名校验,都是筑牢防线的关键。作为学习者,掌握攻击技术的目的应是构建更有效的防御,而非滥用恶意行为。