- 实验目的
1、掌握ARP中间人攻击原理
2、掌握DNS欺骗原理
3、熟悉网站钓鱼的原理。
- 实验环境
VMware15.0、windows客户端、windows server2008、kali linux系统
jd网站站点素材、 ettercap工具
拓扑图:
- 实验内容
知识背景
钓鱼者运用社会工程学知识诱骗受害者,以在未授权情况下获取对方的姓名、年龄、邮箱账号、甚至银行卡密码等私人信息钓鱼往往和社会工程学相结合进行诱导,而社会工程学是黑客的内功,能否灵活运用可以体现一个黑客的个人基本功。
本实验使用kali系统模拟攻击者,利用中间人的攻击手段对受害者进行DNS欺骗,使受害者通过访问假的京东网站,来获取用户登录的用户名和密码。
- 实验要求
1、完成虚拟机的地址配置,并测试网络相互通。
2、在server2008上搭建京东WEB服务器和DNS服务器。
3、客户机尝试访问搭建好的京东WEB服务器。
4、开启ARP攻击
5、DNS欺骗。
6、网站钓鱼
- 实验步骤
1、前3项因提前准备好。
2、开启ARP攻击
1)攻击前客户机和服务器的ARP缓存情况(截图说明)
ARP缓存清除之前
清除指定ARP表项:
2)使用kali的ettercap工具进行网内探测并ARP攻击
查找到两个ip
选中并进行攻击
3)攻击后客户机和服务器的ARP缓存情况(截图说明)
Kali中显示已经有另外两个的IP地址,说明已经攻击成功
192.168.227.1虚拟机中出现了kali的ip地址说明攻击成功
3、DNS欺骗
1)攻击前客户机DNS解析情况,使用nslookup命令解析(截图说明)
2)使用kali的ettercap工具进行DNS欺骗后,客户机DNS解析情况。
使用ping www.jd.com 观察结果 (截图说明)
4、网站钓鱼实施
kali下setoolkit来制作钓鱼网站
- 在kali终端上打开setoolkit
- 选择第一个社会工程
- 选择第二个网站向量
- 选择第三个凭证
- 选择第一个kali自带模板
- 默认回车,默认使用kali的ip地址
- 选择第二个Google
- 在靶机的浏览器输入192.168.227.3
- 靶机登录信息
2)进行用户名和密码窃取
(截图说明)
参照参考资料完成( kali下钓鱼网站的制作_飞鱼的企鹅的博客-CSDN博客_kali钓鱼)
六、 实验总结及存在的问题
(总结要回答怎么预防ARP攻击、DNS欺骗、网站钓鱼的措施。)
打开防火墙,在做网络钓鱼时由于配置文件的问题只能得到用户名无法得到密码,需要修改配置文件,最后顺利完成。