Tekijä(t): KirstenS, Paul McMillan, Raesene, Adedov, Dinis.Cruz, JoE, Daniel Waller, kingthorin
Estää Brute Force Hyökkäyksiä
yhteinen uhka web-kehittäjät kasvot on salasana-arvailua hyökkäys tunnetaan brute force hyökkäys.Brute-force hyökkäys on yritys löytää salasana järjestelmällisesti yrittää kaikin yhdistelmä kirjaimia, numeroita ja symboleja, kunnes löytää yksi oikea yhdistelmä, joka toimii.,Jos verkkosivusi vaatii käyttäjän tunnistautumista, olet hyvä kohde raa ’ alle ylivoimahyökkäykselle.
hyökkääjä voi aina löytää salasanan kautta brute-force hyökkäys, mutta haittapuoli on, että se voi kestää vuosia löytää se.Salasanan pituudesta ja monimutkaisuudesta riippuen mahdollisia yhdistelmiä voi olla biljoonia.
nopeuttaa asioita hieman, brute-force hyökkäys voisi aloittaa sanakirjasta tai hieman muutettu sanakirjasta, koska useimmat ihmiset käyttävät niitä mieluummin kuin täysin satunnaisen salasanan., Näitä hyökkäyksiä kutsutaan sanakirjahyökkäyksiksi tai hybrid brute-force-hyökkäyksiksi.Brute-force-hyökkäykset vaarantavat Käyttäjätilit ja tulvivat sivustosi tarpeettomalla liikenteellä.
Hakkerit käynnistää brute-force hyökkäyksiä käyttämällä yleisesti saatavilla olevia työkaluja, jotka käyttää sanalistoja ja smart rulesets älykkäästi ja automaattisesti arvata käyttäjien salasanoja. Vaikka tällaiset hyökkäykset on helppo havaita, niitä ei ole niin helppo estää.
esimerkiksi monet HTTP-brute-force-työkalut voivat välittää pyyntöjä avoimien välityspalvelinten luettelon kautta., Koska jokainen pyyntö näyttää tulevan eri IP-osoite, et voi estää nämä hyökkäykset yksinkertaisesti estämällä IP-osoite.Edelleen mutkistaa asioita, joitakin työkaluja, kokeile eri käyttäjätunnus ja salasana jokainen yritys, niin ei voi lukita ulos yhden tilin epäonnistui salasana yrittää.
Lukitus Tilejä
ilmeisin tapa estää brute-force-iskujen on yksinkertaisesti lukita tilejä, kun tietty määrä väärä salasana yrittää.,Tilin työsulusta voi kestää tietyn ajan, kuten yhden tunnin, tai tilejä voi pysyvät lukittuina, kunnes manuaalisesti auki järjestelmänvalvoja.
Kuitenkin, tili työsulku ei ole aina paras ratkaisu, koska joku voisi helposti väärin turvallisuus mitata ja lukita ulos satoja käyttäjätilejä.Itse asiassa, jotkut Web-sivustot kokea niin monia hyökkäyksiä, että he eivät pysty valvomaan työsulun politiikkaa, koska ne olisivat jatkuvasti lukituksen asiakkaan tilit.,
ongelmat huomioon lukitukset ovat:
- hyökkääjä voi aiheuttaa palveluneston (DoS), jonka lukitus pois suuri määrä tilejä.
- koska et voi lukita tiliä, jota ei ole, vain voimassa olevat tilinimet lukitsevat. Hyökkääjä voisi käyttää tätä tosiasiaa kerätä käyttäjätunnuksia sivustosta, riippuen virhevastauksista.
- hyökkääjä voi aiheuttaa kulkeutumisen lukitsemalla paljon tilit ja tulvia help desk tukea puhelut.,
- hyökkääjä voi jatkuvasti lukita saman tilin, jopa sekunteja sen jälkeen, kun järjestelmänvalvoja avaa sen ja poistaa tehokkaasti tilin käytöstä.
- tilin työsulku on tehoton hitaita hyökkäyksiä vastaan, jotka kokeilevat vain muutamia salasanoja tunnin välein.
- tilin työsulku on tehoton hyökkäyksiä vastaan, jotka kokeilevat yhtä salasanaa suurta käyttäjätunnuslistaa vastaan.
- Tili työsulku on tehoton, jos hyökkääjä käyttää käyttäjätunnus/salasana combo list ja arvaa oikein pari ensimmäistä yritystä.,
- tehokkaat tilit, kuten järjestelmänvalvojan tilit, ohittavat usein työsulkukäytännön, mutta nämä ovat halutuimmat tilit hyökätä. Jotkin järjestelmät sulkevat järjestelmänvalvojan tilit vain verkkopohjaisiin kirjautumisiin.
- Jopa kun olet lukita tilin, hyökkäys voi jatkaa, kuluttaa arvokasta ihmisen ja tietokoneen resursseja.
Tili työsulku on joskus tehokas, mutta vain valvotuissa ympäristöissä tai niissä tapauksissa, joissa riski on niin suuri, että jopa jatkuva DoS-hyökkäykset ovat parempi huomioon kompromissi.,Useimmiten tilisulku ei kuitenkaan riitä pysäyttämään raakoja ylivoimahyökkäyksiä.
ajatellaan esimerkiksi huutokauppasivustoa, jossa useat tarjoajat riitelevät samasta esineestä.Jos huutokauppa Web-sivuston täytäntöön tilin työsulusta, yksi tarjoaja voi yksinkertaisesti lukita toisten tilejä viime hetkellä huutokaupan, estää niitä esittämästä mitään voittaneet tarjoukset.Hyökkääjä voi käyttää samaa tekniikkaa lohko kriittisiä liiketoimia tai e-mail viestinnän.,
Laitteen Evästeet
saatat myös harkita lukitus pois authentication yritykset tunnettuja ja tuntemattomia selaimia tai laitteita erikseen.Hidastaa Online Arvailemaan Hyökkäyksiä Laite Evästeet artiklassa ehdotetaan pöytäkirjan lukitus mekanismi, joka perustuu tietoja, jos tietyt selain on jo käytetty onnistuneen kirjautumisen.Protokolla on vähemmän altis DoS-hyökkäyksille kuin tavallinen tilin lukitseminen ja silti tehokas ja helppo toteuttaa.,
Löytää Muita Vastatoimia
Kuten edellä, tilin työsulusta eivät yleensä ole käytännöllinen ratkaisu, mutta on olemassa muita temppuja käsitellä raakaa voimaa hyökkäyksiä.Ensinnäkin, koska hyökkäyksen onnistuminen riippuu ajasta, helppo ratkaisu on pistää satunnaisia taukoja salasanaa tarkistettaessa.Lisäämällä jopa muutaman sekunnin tauko voi suuresti hidastaa brute-force hyökkäys, mutta ei vaivaudu useimmat laillisille käyttäjille, kun he kirjaudu tililleen.,
Huomaa, että vaikka lisäämällä viive saattaa hidastaa yksisäikeiseen hyökkäys, se on vähemmän tehokas, jos hyökkääjä lähettää useita samanaikaisia todennuspyynnöt.
Toinen ratkaisu on lukita IP-osoite, jossa on useita epäonnistunut kirjautuminen.Ongelma tässä ratkaisussa on se, että voit epähuomiossa estää suuria käyttäjäryhmiä estämällä ISP: n tai suuren yrityksen käyttämän välityspalvelimen.Toinen ongelma on, että monet työkalut hyödyntävät välityspalvelinluetteloita ja lähettävät vain muutaman pyynnön jokaisesta IP-osoitteesta ennen siirtymistä seuraavaan.,
laajalti saatavilla olevien avoimien välityspalvelinluetteloiden avulla hyökkääjä voisi helposti kiertää minkä tahansa IP-estomekanismin.Koska useimmat sivustot eivät estä kun vain yksi epäonnistui, salasana, hyökkääjä voi käyttää kaksi tai kolme kertaa per proxy.Hyökkääjä, jolla on lista 1000 valtakirjoja voi yritys on 2000 tai 3000 salasanat, ilman että sitä estetään.
kuitenkin tämän menetelmän heikkouksista huolimatta sivustot, jotka kokevat paljon hyökkäyksiä (erityisesti aikuisten verkkosivut), päättävät estää välityspalvelimen IP-osoitteet.,
Yksi yksinkertainen mutta yllättävän tehokas ratkaisu on suunnitella sivustosi ei käytä ennustettavissa käyttäytyminen ei salasanoja.Esimerkiksi useimmat Web-sivustot palauttaa ”HTTP 401 virhe” koodi salasana vika, vaikka jotkut web-sivustot sen sijaan palauttaa ”HTTP 200 MENESTYS” koodia, mutta ohjaa käyttäjän sivulle, jossa selitetään epäonnistui salasana yrittää.Tämä hölmöjä joitakin automaattisia järjestelmiä, mutta se on myös helppo kiertää.
parempi ratkaisu voisi olla muuttaa käyttäytymistä tarpeeksi lopulta lannistaa kaikki, mutta kaikkein omistettu hakkerit.,Voisit, esimerkiksi, käyttää erilaisia virheilmoituksia joka kerta, tai joskus antaa käyttäjälle sivun, ja sitten pyytää heitä uudelleen salasanaa.
joidenkin automatisoitujen brute-force-työkalujen avulla hyökkääjä voi asettaa tiettyjä liipaisinmerkkijonoja etsimään, jotka viittaavat epäonnistuneeseen salasanayritykseen.Jos tuloksena oleva sivu sisältää esimerkiksi lauseen ”huono käyttäjätunnus tai salasana”, työkalu tietäisi tunnusten epäonnistuneen ja kokeilisi seuraavaa luettelossa.,Yksinkertainen tapa huijata näitä työkaluja on sisällyttää myös nämä lauseet kommentteja HTML lähde sivun he saavat, kun ne onnistuneesti todentaa.
yhden tai kahden epäonnistuneen kirjautumisyrityksen jälkeen käyttäjä saattaa haluta pyytää käyttäjänimen ja salasanan lisäksi vastausta salaiseen kysymykseen.Tämä ei ainoastaan aiheuttaa ongelmia automatisoituja hyökkäyksiä, se estää hyökkääjän pääsyn, vaikka heillä ei saada käyttäjätunnus ja salasana oikea.,
Voit myös havaita suuri määrä hyökkäyksiä system-leveä ja näissä olosuhteissa nopea kaikki käyttäjät vastausta heidän salainen kysymyksiin.
Muita tekniikoita, haluat ehkä harkita ovat:
- edistyneille käyttäjille, jotka haluavat suojella tilinsä hyökkäys, antaa heille mahdollisuus sallia kirjautuminen vain tietyistä IP-osoitteista.
- Määritä yksilölliset kirjautumisurlit käyttäjien lohkoihin, jotta kaikki käyttäjät eivät pääse sivustolle samasta URL-osoitteesta.,
- Käytä estää automatisoituja hyökkäyksiä
- sen Sijaan täysin lukitus tilin, aseta se lockdown tilassa, jossa on rajoitettu ominaisuuksia.
Hyökkääjät voi usein kiertää monet näistä tekniikoita itse, mutta yhdistämällä useita tekniikoita, voit merkittävästi rajoittaa brute-force-hyökkäyksiä.Se voi olla vaikea pysäyttää hyökkääjä, joka on päättänyt saada salasanan erityisesti alkaen web-sivuston, mutta nämä tekniikat varmasti voi olla tehokas vastaan monia hyökkäyksiä, mukaan lukien ne, noviisi hakkerit.,Nämä tekniikat vaativat myös enemmän työtä hyökkääjä on osa, joka antaa sinulle enemmän mahdollisuus havaita hyökkäys ja ehkä jopa tunnistaa hyökkääjä.
Vaikka brute-force-hyökkäyksiä on vaikea estää täysin, ne on helppo havaita, sillä jokainen epäonnistunut kirjautumisyritys kirjaa HTTP 401 tila koodi teidän Web-palvelimen lokit.Se on tärkeää seurata lokitiedostoja, jotta brute-force-iskujen – erityisesti sekoittuneet 200 statuscodes se tarkoittaa hyökkääjä löysi voimassa oleva salasana.,ins viittaava URL-osoite on joku sähköposti tai IRC-asiakas
Brute force-hyökkäykset ovat yllättävän vaikea estää kokonaan, mutta huolellinen suunnittelu ja useita vastatoimia, voit rajoittaa altistumista nämä hyökkäykset.,
Lopulta, vain paras puolustus on varmistaa, että käyttäjät noudattavat perussäännöt vahvoja salasanoja: käytä pitkä arvaamaton salasanoja, vältä sanakirjasta löytyviä sanoja, vältetään uudelleenkäyttö salasanat ja vaihda salasanoja säännöllisesti.
täysin automatisoitu julkinen Turingin testi kertoa tietokoneet ja ihmiset apart, tai on ohjelma, jonka avulla voit erottaa ihmiset ja tietokoneet.Ensimmäinen laajalti käytetty Alta Vista estää automaattisia hakuja, s ovat erityisen tehokkaita pysäyttämään kaikenlaista automatisoitua väärinkäyttöä, mukaan lukien brute-force hyökkäykset.,
Ne toimivat esittämällä joitakin testi, joka on helppo ihmisille välittää, mutta vaikea tietokoneita pass; siksi, he voivat päätellä varmuudella, onko ihminen toisessa päässä.
jotta A olisi tehokas, ihmisen on kyettävä vastaamaan testiin oikein mahdollisimman lähellä 100 prosenttia ajasta.Tietokoneiden on epäonnistuttava mahdollisimman lähellä 100 prosenttia ajasta.Carnegie Mellon ’ s School of Computer Science tutkijat työskentelevät jatkuvasti parantaa ja esitellä uusia s.,
Jos kehität omaa , pidä mielessä, että kysymys ei ole niin vaikea, että sillä on väliä-se on kuinka todennäköistä on, että tietokone saa oikean vastauksen.Olen kerran nähnyt sellaisen, joka esittelee käyttäjälle kuvan kolme seeproja, jossa on monivalinta-kysymys kysyy, kuinka monta seeprat olivat kuvassa.Voit vastata kysymykseen, sinun on valitse yksi kolmesta painikkeita.
Vaikka se olisi hyvin vaikea tietokoneohjelma, sekä ymmärtää ja tulkita kuvaa, ohjelma voisi vain satunnaisesti arvata mikä tahansa vastaus ja saada se oikea kolmas kerta., Vaikka tämä saattaa vaikuttaa tyydyttävältä riskitasolta, se ei suinkaan ole tehokas .Jos käytät ilmaista sähköpostipalvelua ja käytät tällaista estääksesi roskapostittajia luomasta tilejä irtotavarana, heidän tarvitsee vain kirjoittaa skripti luodakseen automaattisesti 1000 tiliä ja odottaa keskimäärin, että 333 näistä yrityksistä onnistuu.
kuitenkin yksinkertainen saattaa vielä tehota raakoihin ylivoimahyökkäyksiin.,Kun yhdistää mahdollisuus hyökkääjä lähettää oikea käyttäjätunnus ja salasana arvaus kanssa mahdollisuus arvaamaan oikein, yhdessä muiden tekniikoita on kuvattu tässä luvussa, vaikka yksinkertainen voi olla tehokasta.
Kuva 1: Salasanan Todennus Viive: C#
Kuva 2: Salasanan Todennus Viive: VB.NET
Public Sub AuthenticateRequest(ByVal obj As Object, ByVal ea As System.EventArgs) Dim objApp As HttpApplication Dim objContext As HttpContext Dim ran As Random objApp = obj objContext = objApp.Context ' If user identity is not blank, pause for a random amount of time If objApp.User.Identity.Name <> "" Then ran = New Random Thread.Sleep(ran.Next(ran.Next(minSeconds, maxSeconds) * 1000)) End IfEnd Sub