网络安全之钓鱼网站
0.前言
很多人都接觸過釣魚網站,但是什么是釣魚網站呢?趁著對課程的復習回顧,我在這里介紹一下。
所謂釣魚網站,即假網站,比如說這有一個正確的網站www.qqpet.qq.com這個網站是騰訊QQ寵物的網站,但是釣魚網站可能變成了www.qqqet.qq.com。咋一看,不就是QQ寵物的官網嘛 ,然后點擊登錄,結果就進入了釣魚網站。這樣和真實網站很類似,但是又不是正確的網站即為釣魚網站。
?
1.實驗內容
在今天的課程中,我所需要做的實驗內容如下:
主機A:黑客
主機B:真實網站
主機C:被欺騙者
即完成內容:主機C進入虛假的釣魚網站,發送了自己的用戶名和密碼給了主機A的郵箱,從而導致信息的泄露。
?
2.實驗前提
(1)主機A要有一個HTML文件和內部盜取密碼的JS代碼,HTML文件必須和正確的真實網站的HTML文件一模一樣,從而蒙混過關。
(2)主機B只需要有一個正確的HTML即可。
?
3.實驗過程
(1)主機C輸入了錯誤的網站地址
(2)經過DNS解析,主機B將錯誤網站地址對應的IP地址發送給主機C,主機C訪問這個錯誤的網址
(3)主機C進行正常的操作,登錄,以及輸入用戶名。
(4)釣魚網址得到用戶名和密碼之后,跳出窗口:用戶名和密碼不正確,即立刻跳轉到正確的網址,主機C再次輸入用戶名和密碼,進入網站。于此同時,主機A郵箱中得到用戶名和密碼。
這里需要注意的是:
(1)該怎么保證主機C能夠訪問主機A和主機B的HTML文件呢?
(2)怎么能夠在點擊登錄按鈕之后將用戶名和密碼發送到郵件中?
?
4.關鍵步驟
(1)主機C作為受害者,需要在網絡屬性中修改IPV4的“首選的DNS服務器”,并將其中的IP地址修改成主機B的IP地址,這樣,即可訪問了主機B的HTML文件內容。
(2)主機B需要使用DNS服務器,因為從而實現DNS解析。具體這一步驟該如何做,請探索網絡上的方法。
(3)在我們學校的測試儀器上,因為毛病很多。需要關注的點是:Outlook Express郵箱設置一定要正確。有兩點需要注意:第一,最好和測試軟件介紹的使用方法保持一致,包括其中的命名和密碼,大小寫都需要保持一致。第二,需要保證郵件收發服務器的正確填寫,一般情況下,兩者一樣。
?
5.實驗結果
在主機C點擊釣魚網站之后(此刻正在訪問主機A的內容,并將用戶名和密碼傳輸到主機A的郵箱中),發現無法登錄的時候,主機A將主機C訪問的網址修改成正確的網址,再次DNS解析之后便得到了正確的登錄(但是此時已經丟失了用戶名和密碼)。
?
6.主要截圖
?
總結
- 上一篇: 高性能专业上网行为管理设备WSG-500
- 下一篇: 谷歌地图街景服务涉嫌侵犯隐私遭起诉