기고(s):KirstenS,폴 맥밀런,Raesene,Adedov,Dinis.크루즈,조,다니엘 Waller,kingthorin
차단을 무력 공격
는 일반적인 위협하는 웹 개발자의 얼굴은 암호 공격 알려져 있으로 무력 공격합니다.무작위 공격하려는 시도를 발견 비밀번호에 의해 체계적으로 가능한 모든 조합을 시도하는 글자,숫자,기호까지는 당신이 발견 중 하나는 올바른 작동하는 조합.,웹 사이트에서 사용자 인증이 필요한 경우 무차별 대입 공격의 좋은 대상입니다.공격자는 무차별 공격을 통해 항상 암호를 발견 할 수 있지만 단점은 암호를 찾는 데 수년이 걸릴 수 있다는 것입니다.암호의 길이와 복잡성에 따라 수조 개의 가능한 조합이있을 수 있습니다.
일을 속도,조금 무작위 공격을 시작할 수있는 사전에는 단어 또는 약간 수정된 사전에있는 단어하기 때문에 대부분의 사람들이 사용하는 것 보다는 그는 완전히 임의의 암호입니다., 이러한 공격을 사전 공격 또는 하이브리드 무차별 공격이라고합니다.무차별 공격은 사용자 계정을 위험에 빠뜨리고 불필요한 트래픽으로 사이트를 홍수로 만듭니다.
해커 시작 무작위 공격을 사용하여 널리 사용할 수 있는 도구를 활용하는 단어 목록을 와 스마트 규칙 세트를 지능적으로 자동적으로 추측이 사용자가 암호를 암호화합니다. 이러한 공격은 탐지하기 쉽지만 예방하기가 쉽지 않습니다.
예를 들어 많은 HTTP brute-force 도구는 열려있는 프록시 서버 목록을 통해 요청을 릴레이 할 수 있습니다., 이후 각 요청에서 온 다른 IP 주소를 차단할 수 없습니다 이러한 공격에 의해 단순히 차단하는 IP 주소가 있습니다.복잡성에 더하여,어떤 도구도 다른 사용자명과 암호를 각 시도할 수 없도록 잠금을 하나의 계정에 대한 실패한 암호를 시도한다.
잠금 계정
가장 확실한 방법은 블록 brute-force attacks 은 단순히 잠글 계정을 한 후에 정의된 수의 잘못된 암호를 시도한다.,계정 잠금을 지속할 수 있는 특정 기간,같은 한 시간 또는 계정이 남아 있을 수 있습까지 고정동으로 해제에 의해 관리자입니다.
그러나,계정을 잠금하지 않고 항상 최고의 솔루션이기 때문에,누군가에게 남용 보안을 측정하고 수백 명의 사용자 계정이 있습니다.사실,몇몇 웹사이트 경험 많은 공격할 수 없을 적용 잠금 정책을하기 때문에 그들은 끊임없이 고객 계좌입니다.,
의 문제가 계정을 잠금:
- 공격자 발생할 수 있습 서비스 거부(DoS)에 의해 밖으로 잠그는 큰 숫자의 계정이 있습니다.
- 존재하지 않는 계정을 잠글 수 없으므로 유효한 계정 이름 만 잠 깁니다. 공격자는 오류 응답에 따라이 사실을 사용하여 사이트에서 사용자 이름을 수확 할 수 있습니다.
- 공격자는 많은 계정을 잠그고 지원 전화로 헬프 데스크에 범람하여 기분 전환을 일으킬 수 있습니다.,
- 공격자는 관리자가 잠금을 해제 한 후 몇 초 후에도 동일한 계정을 지속적으로 잠궈 효과적으로 계정을 비활성화 할 수 있습니다.
- 계정 잠금은 매 시간마다 몇 개의 암호 만 시도하는 느린 공격에는 효과가 없습니다.
- 계정 잠금은 사용자 이름의 큰 목록에 대해 하나의 암호를 시도하는 공격에 대해서는 효과가 없습니다.
- 계정을 잠금장치가 효과가 없다면 공격자는 사용자 이름/비밀번호를 사용하여 콤보 목록에 추측에 제대로 처음 몇 번입니다.,
- 강력한과 같은 계정 관리자 계정을 종종 무시 잠금 정책이지만,이들은 가장 바람직한 계정을 공격합니다. 일부 시스템은 네트워크 기반 로그인에서만 관리자 계정을 잠급니다.
- 계정을 잠그더라도 공격이 계속되어 귀중한 인적 및 컴퓨터 리소스를 소비 할 수 있습니다.
정 잠금은 때로는 효과적인만이 통제된 환경하에서 또는 경우에는 위험이 매우 큰 것에도 지속적인 DoS 공격하는 것이 바람직 계정에 타협이다.,그러나 대부분의 경우 계정 잠금은 무차별 대입 공격을 중지하기에 충분하지 않습니다.예를 들어 여러 입찰자가 동일한 항목을 놓고 싸우는 경매 사이트를 생각해보십시오.는 경우 경매를 웹 사이트에 적용되는 계정을 잠금,중 입찰할 수 있는 단순히 잠그는 다른 사람의 계정에 마지막 순간의 경매에서 그들을 방출하고 승리 입찰.공격자를 사용하여 같은 기법을 차단하는 긴요한 재정적인 거래 또는 e-mail 커뮤니케이션.,
장치 쿠키
다음과 같은 것도 고려할 수 있습니다 밖으로 잠그는 인증을 시도에서 알려진 및 알 수없는 브라우저 또는 장치가 따로 있습니다.Slow Down 온라인 공격을 가진 장치 쿠키 문서에서 제안한 프로토콜을 위해 잠금 메커니즘에 대한 정보를 기반으로하는 경우 특정 브라우저에 이미 사용,성적에 로그인합니다.이 프로토콜은 일반 계정 잠금보다 DoS 공격에 덜 취약하면서도 효과적이고 구현하기 쉽습니다.,
을 찾는 다른 대책
으로 설명,계정을 잠금은 일반적으로는 실용적인 솔루션이지만,그 밖의 트릭하격으로 힘을 공격입니다.첫째,이후 성공의 공격이 시간에 따라 다를 쉽고 솔루션을 주입하는 임의의 일시 정지할 때 검사하는 암호입니다.추가 심지어는 몇 초’일시 정지할 수 있는 크게 느 무작위 공격지만 귀찮게 하지 않습니다 대부분의 합법적인 사용자로 로그인 계정을 개설할 수 있다.,
참고는 하지만 추가 지연이 느려질 수 있습니다 하나의 스레드 공격,그것은 덜 하는 경우에 효과적 공격자를 보내 동시에 여러 개의 인증을 요청합니다.
또 다른 해결책은 여러 개의 실패한 로그인으로 IP 주소를 잠그는 것입니다.문제는 이 솔루션은할 수 있는 실수로 차단은 대규모 사용자 그룹에 의해 차단하는 프록시 서버에서 사용하는 ISP 에서는 큰 회사입니다.또 다른 문제는 많은 도구를 활용하는 프록시 목록을 보낼만 몇 가지 요청에서 각각의 IP 주소로 이동하기 전에 다음.,
널리 사용 가능한 개방형 프록시 목록을 사용하여 공격자는 모든 IP 차단 메커니즘을 쉽게 우회 할 수 있습니다.기 때문에 대부분의 사이트를 차단하지만에 실패한 암호 공격자는 사용할 수 있는 두 개 또는 세 개의 시도는 초당 프록시합니다.공격자의 목록으로 1,000 프록시 시도할 수 있습 2,000 3,000 암호 없이 차단됩니다.
그럼에도 불구하고,이것에도 불구하고 방식의 약점,웹사이트는 경험이 높은 숫자의 공격(성인 웹 사이트에서 특정)하도록 선택한 프록시 IP 주소가 있습니다.,
하나의 간단한 아직도 효과적인 솔루션을 디자인하는 귀하의 웹 사이트를 사용하지 않는 동작을 예측할 수 있습니다 실패한 암호를 암호화합니다.예를 들어,대부분의 웹 사이트를 반환하는”HTTP401 오류”코드와 함께 암호 실패하지만,일부 웹사이트에 대 return”HTTP200″성공하지만 코드 직접 사용자는 페이지 설명하지 못했 비밀번호를 입력해야 합니다.이것은 일부 자동화 된 시스템을 바보로 만들지 만 우회하는 것도 쉽습니다.
더 나은 솔루션이 될 수 있습을 다양하게 행동이 충분하다 결국하지 않지만 대부분의 전용 해커입니다.,할 수 있습니다,예를 들어,사용하는 다른 오류 메시지를 각 시간 또는 사용자를 통해 페이지를 다음 프롬프트에 다시 암호를 입력합니다.
일부 자동화 brute-force 도구를 허용자가 설정 트리거 문자열을 찾기 위해를 나타내는 실패 비밀번호를 입력해야 합니다.는 경우,예를 들어,결과 페이지는 문구를”나쁜 사용자 이름이나 비밀번호”가 도구는 것을 알고 자격에 실패하고도 다음 목록에 있습니다.,간단한 방법을 속이 이러한 도구를 포함한 그 구문으로 주석에 HTML 소스 페이지의 그 때 그들은 성공적으로 인증합니다.
후 하나 또는 두 개의 실패는 로그인을 시도할 수 있습니다 사용자에게 묻지에 대해서만 사용자 이름과 암호를 그러나 또한 답변을 본인 확인 질문입니다.이 뿐만 아니라 문제를 일으키는 가진 자 공격을 방지하는 공격에서 액세스 권한을 얻는 경우에도,그들이 할 사용자 이름과 암호를 정확합니다.,
할 수 있도 감지하는 높은 숫자의 공격에 시스템 전체와 그 조건 하에서 모든 사용자 프롬프트에 대한 답변을 자신의 비밀 질문이 있습니다.
기타 기술을 고려할 수 있습니다:
- 에 대한 고급 사용자들은 원하는 자신의 계정을 보호하기 위해 공격에서 그들에게 옵션을 허용하는 로그인에서는 특정 IP 주소가 있습니다.
- 모든 사용자가 동일한 URL 에서 사이트에 액세스 할 수 없도록 사용자 블록에 고유 한 로그인 Url 을 할당하십시오.,
- a 를 사용하여 자동 공격 방지
- 계정을 완전히 잠그는 대신 기능이 제한된 잠금 모드로 배치하십시오.
공격할 수 있는 종종 피 많은 이러한 기술을 결합하여 여러 가지 기술이 크게 제한 brute-force attacks.하기 어려울 수 있습지는 공격자 결정되는 암호를 얻기 위해 특별히 귀하의 웹 사이트에서이지만,이러한 기술을 확실히 될 수 있는 효과에 대하여 많은 공격을 포함하여,그는 초보자에서 설정합니다.,이러한 기술이 필요한 더 많은 작업에서 공격자의 일부는 당신에게 더 많은 기회를 공격을 감지 그리고 어쩌면을 식별하는 경우입니다.
지만 무작위 공격하기 어려운 완전히 중지,그들은 쉽게 검출하기 때문에 실패한 각 로그인을 시도록 HTTP401 상태 코드를 웹서버에 기록합니다.모니터링하는 것이 중요하신 로그파일에 대한 무차별 공격을–특히,혼합 200statuscodes 의미하는 공격자를 발견 유효한 암호입니다.,기능으로 참조 URL 을 다른 사람의 메일 또는 IRC 클라이언트
무력 공격은 놀랍게도 어려운 완전히 중지만,주의 디자인과 여러 개의 대응,제한할 수 있습니다 당신의 노출이 이러한 공격입니다.,
궁극적으로 시장을 방어하는지 확인 사용자에 따라 기본적인 규칙에 대한 강력한 암호를 사용하여 오래 예측할 수 없는 비밀번호,피어,재사용하지 마십시오 비밀번호,비밀번호를 변경을 정기적으로 한다.
완전히 자동화된 공 튜링 테스트를 말하는 외에 컴퓨터와 인간,또는,할 수 있는 프로그램을 구별하는 인간과 컴퓨터입니다.첫 번째에 의해 널리 사용되 Alta Vista 을 방지하는 자동화된 검색에 제출,s 은 특히를 중지에 효과가 어떠한 종류의 자동화된 학대를 포함하여,brute-force attacks.,
그들은 인간이 통과하기 쉽지만 컴퓨터가 통과하기 어려운 몇 가지 테스트를 제시함으로써 작동합니다.
a 가 효과적이기 위해서는 인간이 가능한 한 시간의 100%에 가까운 테스트를 올바르게 대답 할 수 있어야합니다.컴퓨터는 가능한 한 시간의 100%에 가깝게 실패해야합니다.연구진은 카네기 멜론의 학교의 컴퓨터과학을 계속해서 작업을 개선하고 새로운 소개 s.,
을 개발하는 경우,자신의 마음에는 그것이 얼마나 힘든지 질문은 중요한 것-그것은 어떻게 가능성이 그것은 컴퓨터를 얻을 것이 올바른 대답이다.한 번 보았다 하는 선물은 사용자의 사진과 함께 하는 세 가지 얼룩말과 함께,다중 선택을 묻는 질문에 얼마나 많은 얼룩말에 있었다.질문에 대답하는,당신은 클릭 하나의 세 가지 버튼이 있습니다.
지만 그것은 매우 어려울 것이 컴퓨터 프로그램을 모두 질문을 이해하고 해석하 사진,프로그램이 그냥 무작위로 추측이 어떤 답을 얻고 그것은 올바른 시간의 세 번째., 이것이 만족스러운 수준의 위험처럼 보일 수도 있지만,결코 효과적인 것은 아닙니다.를 실행하는 경우 무료 e-메일 서비스 및 사용을 방지 하기 위해 스팸 메일을 만드 계정에서 대량으로,그들이해야 할 모든 것은 스크립트를 작성하여 자동으로 만들 1,000 계정과 기대에는 평균 333 사람들의 시도를 성공적으로 될 것입니다.
그럼에도 불구하고 단순한 것은 여전히 무차별 공격에 효과적 일 수 있습니다.,결합할 때의 기회를 공격자를 보내는 올바른 사용자 이름과 암호를 추측으로 추측의 기회를 올바르게,결합되는 다른 기술을 이 장에서 설명에도 간단한 증명할 수 있는 효과적입니다.