实验三网站若钓鱼攻击--实验报告.docVIP

PAGE \* MERGEFORMAT18 南京工程学院 实 验 报 告 题 目 网站钓鱼攻击 课 程 名 称 网络与信息安全技术 院（系、部、中心） 计算机工程学院 专 业 网络工程 班 级 学 生 姓 名 学 号 设 计 地 点 信息楼A216 指 导 教 师 毛云贵 实 验 时 间 2014年3月20日 实 验 成 绩 一实验目的 1.了解钓鱼攻击的概念和实现原理2.了解钓鱼网站和正常网站的区别3.提高抵御钓鱼攻击的能力 二实验环境 Windows，交换网络结构，UltraEdit 三实验原理 3.1．什么是钓鱼网站??? 网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受严重的经济损失或个人信息被窃取。??? 钓鱼网站通常伪装成为银行网站，窃取访问者提交的账号和密码信息。它一般通过电子邮件传播，此类邮件中包含一个经过伪装的链接，该链接将收件人链接到钓鱼网站。钓鱼网站的页面与真实网站界面完全一致，要求访问者提交账号和密码。一般来说钓鱼网站结构很简单，只是一个或几个页面，URL和真实网站有细微差别，如真实的工行网站为，针对工行的钓鱼网站则可能为。3.2．钓鱼网站的防范措施1.启用专用域名??? 现在的网址有好几种，是一个商业性网站，而是政府网站，则是非政府组织网站。域名不同，代表的意思也不同。因此可以借鉴政府网站有专用域名做法，为网上银行设置专用域名。这种作法虽然从根本上无法杜绝钓鱼网站的存在，但确实在很大程度上打击了假冒的网银网站。2.规范搜索引擎??? 在网银安全问题上，银行惟一能采取的办法就是投入大量的人力物力，不间断地在网上通过人工或是自动搜索同自己域名类似的假冒网站、网络实名，甚至必须介入电子邮件搜索是否有人假借银行名义行欺骗之实，即使是几个银行联合起来打假，平摊的只是成本，技术始终是个难题。因此可以规范搜索引擎，从搜索引擎层面上来干预与网上银行域名类似的网站。3.银行数字证书??? 银行可以通过使用银行证书的方式来验明网上银行的正身，只有拥有正确的证书才能证明该网站是正确的网上银行而不是钓鱼网站。4.客户安全使用网银??? （1）避免使用搜索引擎??? 从正规银行网点取得网络银行网址并牢记，登录网银时尽量避免使用搜索引擎或网络实名，以免混淆视听。??? （2）设置混合密码、双密码??? 密码设置应避免与个人资料相关，建议选用数字、字母混合密码，提高密码破解难度并妥善保管，交易密码尽量与信用卡密码不同。??? （3）定期查看交易记录定期查看网银办理的转帐和支付等业务记录，或通过短信定制账户变动通知，随时掌握账户变动情况。??? （4）妥善保管数字证书??? 避免在公用计算机上使用网银，以防数字证书等机密资料落入他人之手。??? （5）警惕电子邮件链接??? 网上银行一般不会通过电子邮件发出“系统维护、升级”提示，若遇重大事件，系统必须暂停服务，银行会提前公告顾客。一旦发现资料被盗，应立即修改相关交易密码或进行银行卡挂失。三．钓鱼网站的关键源码分析??? 钓鱼网站的位置:“C:\ExpNIS\SocEng-Lab\Fishing\钓鱼网站\qqqet”，用UltraEdit-32可查看或编辑源码。??? 钓鱼网站构造比较简单，主要组成部分其实就是两个文件index.htm，steal.asp。index.htm为钓鱼网站的前台表现页面，steal.asp为钓鱼网站的后台控制程序。具体分析一下这两个文件。1.index.htm文件??? 用户使用域名“”登录钓鱼网站后，进入的页面就