实验三网站钓鱼攻击 实验报告分析

南京工程学院

实验报告

题目网站钓鱼攻击

课程名称网络与信息安全技术

院（系、部、中心）计算机工程学院

专业网络工程

班级

学生姓名

学号

设计地点信息楼A216 指导教师毛云贵

实验时间 2014年3月20日

实验成绩

一实验目的

1.了解钓鱼攻击的概念和实现原理

2.了解钓鱼网站和正常网站的区别

3.提高抵御钓鱼攻击的能力

二实验环境

Windows，交换网络结构，UltraEdit

三实验原理

3.1．什么是钓鱼网站

网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受严重的经济损失或个人信息被窃取。

钓鱼网站通常伪装成为银行网站，窃取访问者提交的账号和密码信息。它一般通过电子邮件传播，此类邮件中包含一个经过伪装的链接，该链接将收件人链接到钓鱼网站。钓鱼网站的页面与真实网站界面完全一致，要求访问者提交账号和密码。一般来说钓鱼网站结构很简单，只是一个或几个页面，URL和真实网站有细微差别，如真实的工行网站为，针对工行的钓鱼网站则可能为。

3.2．钓鱼网站的防范措施

1.启用专用域名

现在的网址有好几种，是一个商业性网站，而是政府网

站，则是非政府组织网站。域名不同，代表的意思也不同。因此可以借鉴政府网站有专用域名做法，为网上银行设置专用域名。这种作法虽然从根本上无法杜绝钓鱼网站的存在，但确实在很大程度上打击了假冒的网银网站。

2.规范搜索引擎

在网银安全问题上，银行惟一能采取的办法就是投入大量的人力物力，不间断地在网上通过人工或是自动搜索同自己域名类似的假冒网站、网络实名，甚至必须介入电子邮件搜索是否有人假借银行名义行欺骗之实，即使是几个银行联合起来打假，平摊的只是成本，技术始终是个难题。因此可以规范搜索引擎，从搜索引擎层面上来干预与网上银行域名类似的网站。

3.银行数字证书

银行可以通过使用银行证书的方式来验明网上银行的正身，只有拥有正确的证书才能证明该网站是正确的网上银行而不是钓鱼网站。

4.客户安全使用网银

（1）避免使用搜索引擎

从正规银行网点取得网络银行网址并牢记，登录网银时尽量避免使用搜索引擎或网络实名，以免混淆视听。

（2）设置混合密码、双密码

密码设置应避免与个人资料相关，建议选用数字、字母混合密码，提高密码破解难度并妥善保管，交易密码尽量与信用卡密码不同。

（3）定期查看交易记录

定期查看网银办理的转帐和支付等业务记录，或通过短信定制账户变动通知，随时掌握账户变动情况。

（4）妥善保管数字证书

避免在公用计算机上使用网银，以防数字证书等机密资料落入他人之手。

（5）警惕电子邮件链接

网上银行一般不会通过电子邮件发出“系统维护、升级”提示，若遇重大事件，系统必须暂停服务，银行会提前公告顾客。一旦发现资料被盗，应立即修改相关交易密码或进行银行卡挂失。

三．钓鱼网站的关键源码分析

钓鱼网站的位置:“C:\ExpNIS\SocEng-Lab\Fishing\钓鱼网站\qqqet”，用UltraEdit-32可查看或编辑源码。

钓鱼网站构造比较简单，主要组成部分其实就是两个文件index.htm，steal.asp。index.htm为钓鱼网站的前台表现页面，steal.asp为钓鱼网站的后台控制程序。具体分析一下这两个文件。

1.index.htm文件

用户使用域名“”登录钓鱼网站后，进入的页面就是index.htm，该页是钓鱼网站的表现页面，其主要完成表单提交，用户信息是否为空的验证，验证用户信息不为空的话，就将用户输入的信息传入steal.asp。页面源码中很多都是为页面的表现形式，表现效果服务的，这些源码不做分析。下面分析一下关键代码：

上行代码解析:

（1）“name”是表单的名称，这里给该表单命名为“form1”。

（2）“onsubmit="return checkinput()"”是提交表单之前执行的方法，在下一大

段代码中会具体介绍checkinput()方法。

（3）“action=steal.asp”是提交表单后跳转的文件，这里是跳转到steal.asp。

（4）“method=post”是表单提交方法，该方法有两种，一种是post，一种是get。post是隐含参数提交，就是提交的时候url中不显示用户名，密码信息。get是显示参数提交，就是提交的时候url中显示用户名，密码信息。

上段代码大部分都是效果和表现形式，关键的部分用粗体字代替。这段代码是建立一个文本输入框，“type=text”是给输入框的类型定义为文本形式，“name=u”是将文本输入框的名称定义为“u”,“u.value”就是文本框输入的内容。

上段代码是建立一个密码输入框，“type=password”是给输入框定义为密码形式，“name=p”是将密码输入框的名称定义为“p”,“p.value”就是密码框输入的内容。

上段代码的意思是建立一个登录的按钮，用于提交用户信息的。表单部分的代码中onsubmit="return checkinput()"”，它的意思是调用下面这段代码。