web安全day19：DNS欺骗、ARP攻击及钓鱼网站制作

钓鱼网站

钓鱼网站是指欺骗用户的虚假网站。“钓鱼网站”的页面与真实网站界面基本一致，欺骗消费者或者窃取访问者提交的账号和敏感信息。钓鱼网站一般只有一个或几个页面，和真实网站差别细微。钓鱼网站是互联网中最常碰到的一种诈骗方式，通常伪装成银行及电子商务、窃取用户提交的银行账号、口令等私密信息的网站。

社会工程学

凯文·米特尼克在《反欺骗的艺术》中曾提到，人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金，最终导致数据泄露的原因，往往却是发生在人本身。你们可能永远都想象不到，对于骇客们来说，通过一个用户名、一串数字、一串英文代码，社会工程师就可以通过这么几条的线索，通过社工攻机手段，加以筛选、整理，就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼，而且还是最麻烦的方法。一种无需依托任何骇客软件，更注重研究人性弱点的骇客手法正在兴起，这就是社会工程学骇客技术。

社会工程学骇客常见伎俩：

• 电话号码欺骗
• 利用坏消息作案
• 滥用网民对社交等网站的信任
• 二维码引诱
• 等等

钓鱼者运用社会工程学（social engineering）知识诱骗受害者，以在未授权情况下获取对方的姓名、年龄、邮箱账号、甚至是银行卡口令等私人信息

钓鱼往往和社会工程学相结合进行诱导，而社会工程学是骇客的内功，能否灵活运用可以体现一个骇客的个人修为，所以说“防人之心不可无”这句话并非没有道理，凡事不要害人但是总要留个心眼否则最终受伤的就是自己。

实验一：dns欺骗获取敏感信息

本案例利用虚假的京东网站，并且使用DNS与ARP欺骗手段诱使用户输入真实的用户名口令。

实验目标

使用kali系统模拟攻机者，利用中间人的攻机手段来对受害者进行DNS欺骗，使受害者通过访问假的京东网站，来获取用户登录的用户名与口令。

实验环境

vmware

windowsxp--模拟客户机

windows2003--模拟公网的dns服务器与jd的web服务器

kali--模拟攻机机

ettercap软件（kali自带）

jd网站站点素材

实验拓扑

实验步骤

部署web服务器

我们在windows2003上部署web服务，制作假冒的京栋登录网页。关于web服务部署方式，可以移步​​#yyds干货盘点# web安全day6：IIS之WEB服务器​​​

关键源代码，完整代码可私信获得。

<?php
$nam = stripslashes($_POST['name']);
$pas = stripslashes($_POST['pass']);
$filed = @fopen("1.txt", "a+");
@fwrite($filed, "$contentn");
?>
<html>
<head>
  <script type="text/javascript">
    function goBack()
    {
      window.history.back() //后退+刷新
    }
  </script>
</head>
<body onload="goBack()"> <!-- 加载之后立即执行一段 JavaScript -->
</body>
</html>

那么我们既然部署了web服务，怎么样才能使客户机去访问它呢？一般客户访问jd就是通过在浏览器上输入www.jd.com来访问，他不会输入某个ip地址去访问，而我们部署了web服务器之后还是只能通过ip地址来进行访问，所以我们还需要部署dns服务。

部署dns服务器

我们在windows2003上部署dns服务，将www.jd.com解析到windows2003，即windows2003既扮演了web服务器，同时又扮演了dns服务器。只要客户将dns地址输入为windows2003的ip地址，windows2003就会将www.jd.com这个地址解析到10.1.1.1上，使得客户访问了假冒的jd站点。

关于dns服务器的部署方式，请移步​web安全day5：DNS部署与安全​​。

部署完毕后，在windowsxp上访问jd.com

我们可以看到，客户机已经访问了我们制作的虚假的jd登录站点。

ettercap工具使用

如果客户机在这个页面上输入用户名和口令，我们通过kali的ettercap就可以截获到这些敏感信息。关于ettercap的使用，可以移步。

我们回到kali进行检查

发现确实截获了这些敏感信息。