Blokering af Brute Force-Angreb

Forfatter: Esheridan
Bidragyder(e): KirstenS, Paul McMillan, Raesene, Adedov, Dinis.Cruz, JoE, Daniel Waller, kingthorin

Blokering af Brute Force-Angreb

En fælles trussel, web-udviklere står over for, er et angreb ved at gætte adgangskoden er kendt som et brute force angreb.Et brute-force-angreb er et forsøg på at opdage en adgangskode ved systematisk at prøve enhver mulig kombination af bogstaver, tal og symboler, indtil du opdager den rigtige kombination, der fungerer.,Hvis dit siteebsted kræver brugergodkendelse, du er et godt mål for en brute-force angreb.

en angriber kan altid finde en adgangskode gennem et brute-force-angreb, men ulempen er, at det kan tage år at finde det.Afhængig af adgangskodens længde og kompleksitet kan der være billioner af mulige kombinationer.

for at fremskynde tingene lidt, kan et brute-force-angreb starte med ordbogsord eller let modificerede ordbogsord, fordi de fleste mennesker vil bruge dem snarere end en helt tilfældig adgangskode., Disse angreb kaldes ordbog angreb eller hybrid brute-force angreb.Brute-force-angreb sætter brugerkonti i fare og oversvømmer dit .ebsted med unødvendig trafik.

hackere lancerer brute-force-angreb ved hjælp af bredt tilgængelige værktøjer, der bruger ordlister og smarte regelsæt til intelligent og automatisk at gætte brugeradgangskoder. Selvom sådanne angreb er lette at opdage, er de ikke så lette at forhindre.for eksempel kan mange http brute-force-værktøjer videresende anmodninger via en liste over åbne Pro .yservere., Da hver enkelt anmodning, ser ud til at komme fra en anden IP-adresse, du kan ikke blokere disse angreb, blot ved at blokere IP-adressen.For at komplicere tingene yderligere, med nogle værktøjer, prøv med et andet brugernavn og adgangskode i hvert forsøg, så du ikke kan låse en enkelt konto for mislykkede password forsøg.

Låsekonti

den mest åbenlyse måde at blokere brute-force-angreb på er blot at låse konti efter et defineret antal forkerte adgangskodeforsøg.,Konto lockouts kan vare en bestemt varighed, såsom en time, eller konti kan forblive låst, indtil manuelt låst op af en administrator.

Men, konto lockout er ikke altid den bedste løsning, fordi nogen kunne nemt misbrug sikkerhedsforanstaltningerne, og lock-out hundredvis af brugerkonti.I virkeligheden, nogle Web-sites opleve så mange overgreb, at de er ude af stand til at håndhæve en lockout politik, fordi de hele tiden vil være oplåsning af kundernes konti.,

problemerne med kontoudlåsning er:

  • en angriber kan forårsage et lammelsesangreb (dos) ved at låse et stort antal konti ud.
  • da du ikke kan låse en konto, der ikke findes, er det kun gyldige kontonavne, der låses. En angriber kunne bruge denne kendsgerning til at høste brugernavne fra siteebstedet, afhængigt af fejlsvarene.en angriber kan forårsage omdirigering ved at låse mange konti og oversvømme helpdesk med supportopkald.,
  • en angriber kan kontinuerligt låse den samme konto, selv sekunder efter at en administrator har låst den op, hvilket effektivt deaktiverer kontoen.
  • konto lockout er ineffektiv mod langsomme angreb, der forsøger kun et par adgangskoder hver time.
  • konto lockout er ineffektiv mod angreb, der forsøger en adgangskode mod en lang liste af brugernavne.
  • konto lockout er ineffektiv, hvis angriberen bruger et brugernavn/pass .ord combo liste og gætter korrekt på de første par forsøg.,
  • magtfulde konti som administratorkonti omgår ofte lockout-politik, men dette er de mest ønskelige konti at angribe. Nogle systemer låser kun administratorkonti ud på netværksbaserede logins.
  • selv når du låser en konto, kan angrebet fortsætte og forbruge værdifulde menneskelige og computerressourcer.

kontolåsning er undertiden effektiv, men kun i kontrollerede miljøer eller i tilfælde, hvor risikoen er så stor, at selv kontinuerlige DoS-angreb foretrækkes frem for kontokompromis.,I de fleste tilfælde er kontolåsning imidlertid utilstrækkelig til at stoppe brute-force-angreb.

Overvej for eksempel et auktionssted, hvor flere budgivere kæmper om den samme vare.Hvis auktion websted håndhæves konto lockout, eller en tilbudsgiver, der blot kan låse andres konti i de sidste minutter af auktionen, og som forhindrer dem i at indsende eventuelle vindende bud.En hacker kunne bruge den samme teknik til at blokere kritiske finansielle transaktioner eller e-mail-kommunikation.,

Enhedscookies

Du kan også overveje at låse godkendelsesforsøg fra kendte og ukendte bro .sere eller enheder separat.Den langsomme Online gætte angreb med Device Cookies artikel foreslår protokol for lockout mekanisme baseret på oplysninger om, hvis specifik bro .ser allerede er blevet brugt til vellykket login.Protokollen er mindre modtagelige for DoS-angreb end almindelig konto låsning ud og alligevel effektiv og nem at implementere.,

Find Andre Modforanstaltninger

Som beskrevet, konto lockout er normalt ikke en praktisk løsning, men der er andre tricks til at beskæftige sig med brute force angreb.For det første, da angrebets succes er afhængig af tiden, er en nem løsning at injicere tilfældige pauser, når du kontrollerer en adgangskode.Tilføjelse selv et par sekunder’ pause kan i høj grad bremse en brute-force angreb, men vil ikke genere de fleste legitime brugere, som de logger ind på deres konti.,

Bemærk, at selvom tilføjelse af en forsinkelse kan bremse et enkelt-trådet angreb, er det mindre effektivt, hvis angriberen sender flere samtidige godkendelsesanmodninger.

en anden løsning er at låse en IP-adresse med flere mislykkede logins.Problemet med denne løsning er, at du utilsigtet kan blokere store grupper af brugere ved at blokere en pro .yserver, der bruges af en internetudbyder eller et stort firma.Et andet problem er, at mange værktøjer bruger Pro .y-lister og kun sender et par anmodninger fra hver IP-adresse, før de går videre til den næste.,

Ved hjælp af bredt tilgængelige åbne Pro .ylister kunne en angriber let omgå enhver IP-blokeringsmekanisme.Fordi de fleste steder ikke blokere efter blot onen mislykket adgangskode, en hacker kan bruge to eller tre forsøg pr proxy.An angriber med en liste over 1.000 fuldmagter kan forsøge 2.000 eller 3.000 adgangskoder uden at blive blokeret.

På trods af denne metodes svagheder vælger Webebsteder, der oplever et stort antal angreb (især voksne Webebsteder), at blokere Pro .y-IP-adresser.,en enkel, men overraskende effektiv løsning er at designe dit Websiteebsted for ikke at bruge forudsigelig opførsel til mislykkede adgangskoder.For eksempel returnerer de fleste Webebsteder en “http 401 error” – kode med en adgangskodefejl, selvom nogle webebsteder i stedet returnerer en “HTTP 200 SUCCESS” – kode, men leder brugeren til en side, der forklarer det mislykkede adgangskodeforsøg.Dette narrer nogle automatiserede systemer, men det er også let at omgå.en bedre løsning kan være at variere adfærden nok til i sidste ende at afskrække alle undtagen de mest dedikerede hackere.,Du kan for eksempel bruge forskellige fejlmeddelelser hver gang eller nogle gange lade en bruger komme igennem til en side og derefter bede dem om en adgangskode igen.

nogle automatiserede brute-force-værktøjer gør det muligt for angriberen at indstille bestemte triggerstrenge til at kigge efter, der angiver et mislykket adgangskodeforsøg.For eksempel, hvis den resulterende side indeholder sætningen “Dårligt Brugernavn eller adgangskode”, ville værktøjet vide, at legitimationsoplysningerne mislykkedes, og ville prøve det næste på listen.,En enkel måde at narre disse værktøjer på er også at inkludere disse sætninger som kommentarer i HTML-kilden på den side, de får, når de med succes godkender.

efter et eller to mislykkede loginforsøg kan du bede brugeren ikke kun om brugernavn og adgangskode, men også om at besvare et hemmeligt spørgsmål.Dette medfører ikke kun problemer med automatiserede angreb, det forhindrer en Angriber i at få adgang, selvom de får brugernavnet og adgangskoden korrekt.,

Du kan også registrere et stort antal angreb i hele systemet og under disse betingelser bede alle brugere om svaret på deres hemmelige spørgsmål.andre teknikker, du måske vil overveje, er:

  • for avancerede brugere, der ønsker at beskytte deres konti mod angreb, skal du give dem mulighed for kun at tillade login fra bestemte IP-adresser.
  • Tildel unikke login-Urebadresser til blokke af brugere, så ikke alle brugere kan få adgang til theebstedet fra den samme URL.,
  • Brug A til at forhindre automatiserede angreb
  • i stedet for helt at låse en konto, skal du placere den i en lockdo .n-tilstand med begrænsede muligheder.

Angribere ofte kan omgå mange af disse teknikker i sig selv, men ved at kombinere flere forskellige teknikker, du kan væsentligt begrænse brute-force-angreb.Det kan være svært at stoppe en angriber, der er fast besluttet på at opnå en adgangskode, specielt fra dit websted, men disse teknikker kan bestemt være effektiv mod mange angreb, herunder dem fra uerfarne hackere.,Disse teknikker kræver også mere arbejde på angriberens side, hvilket giver dig flere muligheder for at opdage angrebet og måske endda identificere angriberen.

Selv om brute-force-angreb er vanskeligt at stoppe helt, de er nemme at opdage, fordi hver mislykkede login-forsøg poster en HTTP-status 401 kode i din Web server logs.Det er vigtigt at overvåge dine logfiler for brute-force-angreb – især blandet 200 statuscodes, der betyder, at angriberen fundet et gyldigt password.,ins med en henvisning URL nogen mail eller IRC-klient

  • Henvisende Webadresser, der indeholder brugernavn og adgangskode i formatet <http://user:/login.htm>
  • Hvis beskytte en voksen Web site, henvisende url ‘ er kendt af password-deling af steder
  • Logins med mistænkelige adgangskoder hackere normalt brug, såsom ownsyou (ownzyou), washere (wazhere), fanatikere, hacksyou, og som
  • Brute force-angreb er overraskende svært at stoppe helt, men med omhyggelig design og flere modforanstaltninger, kan du begrænse din udsættelse for disse angreb.,i sidste ende er det eneste bedste forsvar at sikre, at brugerne følger grundlæggende regler for stærke adgangskoder: brug lange uforudsigelige adgangskoder, undgå ordbogsord, undgå at genbruge adgangskoder og ændre adgangskoder regelmæssigt.

    en fuldstændig automatiseret offentlig Turing-test til at fortælle computere og mennesker fra hinanden, eller , er et program, der giver dig mulighed for at skelne mellem mennesker og computere.Først udbredt af Alta Vista for at forhindre automatiseret søgning indlæg, s er særligt effektive til at stoppe enhver form for automatiseret misbrug, herunder brute-force-angreb.,

    de fungerer ved at præsentere en test, der er let for mennesker at bestå, men vanskelig for computere at passere; derfor kan de med en vis sikkerhed konkludere, om der er et menneske i den anden ende.

    for at A skal være effektiv, skal mennesker være i stand til at besvare testen korrekt så tæt på 100 procent af tiden som muligt.Computere skal mislykkes så tæt på 100 procent af tiden som muligt.Forskere ved Carnegie Mellons School of Computer Science arbejder løbende for at forbedre og introducere nye s.,

    Hvis du udvikler din egen , skal du huske, at det ikke er, hvor svært spørgsmålet er, der betyder noget-det er hvor sandsynligt det er, at en computer får det rigtige svar.Jeg så engang en, der giver brugeren et billede af tre threeebraer, med et multiple choice-spørgsmål, der spørger, hvor mangeebebraer der var i picture.To svar på spørgsmålet, du klikker på en af tre knapper.

    selvom det ville være meget vanskeligt for et computerprogram at både forstå spørgsmålet og fortolke billedet, kunne programmet bare tilfældigt gætte ethvert svar og få det korrekt en tredjedel af tiden., Selvom dette kan virke som et tilfredsstillende risikoniveau, er det på ingen måde en effektiv .Hvis du kører en gratis e-mail-tjeneste og bruger en sådan som denne for at forhindre spammere i at oprette konti i bulk, er alt, hvad de skal gøre, at skrive et script for automatisk at oprette 1,000-konti og forventer i gennemsnit, at 333 af disse forsøg vil blive vellykket.

    ikke desto mindre kan en simpel stadig være effektiv mod brute-force-angreb.,Når du kombinerer chancen for, at en angriber sender et korrekt brugernavn og pass .ord guess med chancen for at gætte det korrekt, kombineret med andre teknikker beskrevet i dette kapitel, selv en simpel kunne vise sig effektiv.

    Figur 1: Password Authentication Forsinkelse: C#

    Figur 2: Password Authentication Forsinkelse: VB.NET

    Public Sub AuthenticateRequest(ByVal obj As Object, ByVal ea As System.EventArgs) Dim objApp As HttpApplication Dim objContext As HttpContext Dim ran As Random objApp = obj objContext = objApp.Context ' If user identity is not blank, pause for a random amount of time If objApp.User.Identity.Name <> "" Then ran = New Random Thread.Sleep(ran.Next(ran.Next(minSeconds, maxSeconds) * 1000)) End IfEnd Sub

    Skriv et svar

    Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

    Videre til værktøjslinje