Blocarea Atacurilor Brute Force

Autor: Esheridan
Contribuabil(s): KirstenS, Paul McMillan, Raesene, Adedov, Dinis.Cruz, JoE, Daniel Waller, kingthorin

Blocarea Atacurilor Brute Force

O amenințare comună dezvoltatori web fata este o parola ghicitul atac cunoscut ca un atac brute force.Un atac brute-force este o încercare de a descoperi o parolă prin încercarea sistematică a fiecărei combinații posibile de Litere, Numere și simboluri până când descoperiți combinația corectă care funcționează.,Dacă site-ul dvs. web necesită autentificarea utilizatorului, sunteți o țintă bună pentru un atac de forță brută.un atacator poate descoperi întotdeauna o parolă printr-un atac de forță brută, dar dezavantajul este că ar putea dura ani de zile pentru a o găsi.În funcție de lungimea și complexitatea parolei, ar putea exista trilioane de combinații posibile.pentru a accelera puțin lucrurile, un atac de forță brută ar putea începe cu cuvinte din dicționar sau cuvinte din dicționar ușor modificate, deoarece majoritatea oamenilor le vor folosi mai degrabă decât o parolă Complet aleatorie., Aceste atacuri sunt numite atacuri de dicționar sau atacuri hibride brute-force.Atacurile Brute-force pun în pericol conturile de utilizator și inundă site-ul dvs. cu trafic inutil.

Hackeri lansa brute-force atacuri utilizarea pe scară largă de instrumente disponibile care utilizează wordlists și inteligent regulilor de inteligent și automat ghici parole de utilizator. Deși astfel de atacuri sunt ușor de detectat, ele nu sunt atât de ușor de prevenit.de exemplu, multe instrumente HTTP brute-force pot transmite solicitări printr-o listă de servere proxy deschise., Deoarece fiecare cerere pare să vină de la o adresă IP diferită, nu puteți bloca aceste atacuri, pur și simplu prin blocarea adresei IP.Pentru a complica și mai mult lucrurile, unele instrumente încercați un alt nume de utilizator și o parolă pe fiecare încercare, așa că nu poate bloca un singur cont pentru încercări eșuate parola.cel mai evident mod de a bloca atacurile brute-force este de a bloca pur și simplu conturile după un număr definit de încercări de parolă incorecte.,Blocările contului pot dura o anumită durată, cum ar fi o oră, sau conturile ar putea rămâne blocate până când sunt deblocate manual de un administrator.

cu toate Acestea, blocare de conturi nu este întotdeauna cea mai bună soluție, pentru că cineva ar putea cu ușurință să abuzeze de măsuri de securitate și de blocare a sute de conturi de utilizator.În fapt, unele site-uri Web experienta de atât de multe atacuri, care sunt în imposibilitatea de a pune în aplicare o politică de blocaj, deoarece acestea ar fi în mod constant deblocarea conturilor clienților.,

problemele cu blocarea contului sunt:

  • un atacator poate provoca o negare a serviciului (DoS) prin blocarea unui număr mare de conturi.
  • deoarece nu puteți bloca un cont care nu există, numai numele de cont valide se vor bloca. Un atacator ar putea folosi acest fapt pentru a recolta nume de utilizator de pe site, în funcție de răspunsurile de eroare.
  • un atacator poate provoca o diversiune prin blocarea mai multor conturi și inundarea Biroului de asistență cu apeluri de asistență.,
  • un atacator poate bloca continuu același cont, chiar și la câteva secunde după ce un administrator îl deblochează, dezactivând efectiv contul.
  • blocarea contului este ineficientă împotriva atacurilor lente care încearcă doar câteva parole în fiecare oră.
  • blocarea contului este ineficientă împotriva atacurilor care încearcă o parolă împotriva unei liste mari de nume de utilizator.
  • blocarea contului este ineficientă dacă atacatorul folosește o listă combinată nume de utilizator/parolă și ghicește corect la primele două încercări.,
  • conturile puternice, cum ar fi conturile de administrator, ocolesc adesea Politica de blocare, dar acestea sunt cele mai de dorit conturi de atacat. Unele sisteme blochează conturile de administrator numai la autentificările bazate pe rețea.chiar și după ce blocați un cont, atacul poate continua, consumând resurse umane și informatice valoroase.blocarea contului este uneori eficientă, dar numai în medii controlate sau în cazurile în care riscul este atât de mare încât chiar și atacurile DoS continue sunt preferabile compromisului contului.,În cele mai multe cazuri, însă, blocarea contului este insuficientă pentru oprirea atacurilor cu forță brută.luați în considerare, de exemplu, un site de licitație pe care mai mulți ofertanți se luptă pentru același articol.În cazul în care licitația site-ul Web aplicate cont de lock-out, un ofertant ar putea pur și simplu bloca altora conturi în ultimul minut de licitație, împiedicându-le de la transmiterea de oferte câștigătoare.Un atacator ar putea folosi aceeași tehnică pentru a bloca critică tranzacțiile financiare sau de e-mail de comunicații.,de asemenea, puteți lua în considerare blocarea separată a încercărilor de autentificare de pe browsere sau dispozitive cunoscute și necunoscute.Lent în jos atacuri ghicitul Online cu dispozitiv cookie-uri articol propune protocol pentru mecanismul de blocare bazat pe informații despre dacă browser-ul specific au fost deja utilizate pentru autentificare cu succes.Protocolul este mai puțin susceptibil la atacuri DoS decât blocarea contului simplu și totuși eficient și ușor de implementat.,după cum este descris, blocările contului nu sunt de obicei o soluție practică, dar există și alte trucuri pentru a face față atacurilor de forță brută.În primul rând, deoarece succesul atacului depinde de timp, o soluție ușoară este să injectați pauze aleatorii atunci când verificați o parolă.Adăugarea unei pauze de câteva secunde poate încetini foarte mult un atac de forță brută, dar nu va deranja majoritatea utilizatorilor legitimi în timp ce se conectează la conturile lor.,rețineți că, deși adăugarea unei întârzieri ar putea încetini un atac cu un singur fir, este mai puțin eficient dacă atacatorul trimite mai multe solicitări de autentificare simultane.o altă soluție este blocarea unei adrese IP cu mai multe conectări eșuate.Problema cu această soluție este că ați putea bloca din greșeală grupuri mari de utilizatori blocând un server proxy utilizat de un ISP sau o companie mare.O altă problemă este că multe instrumente utilizează liste de proxy și trimit doar câteva solicitări de la fiecare adresă IP înainte de a trece la următoarea.,folosind liste proxy deschise disponibile pe scară largă, un atacator ar putea eluda cu ușurință orice mecanism de blocare IP.Deoarece majoritatea site-urilor nu se blochează după o singură parolă eșuată, un atacator poate utiliza două sau trei încercări pe proxy.An atacatorul cu o listă de 1.000 de proxy-uri poate încerca 2.000 sau 3.000 de parole fără a fi blocat.cu toate acestea, în ciuda slăbiciunilor acestei metode, site-urile Web care se confruntă cu un număr mare de atacuri (site-uri web pentru adulți în special) aleg să blocheze adresele IP proxy.,o soluție simplă, dar surprinzător de eficientă, este să vă proiectați site-ul web pentru a nu utiliza un comportament previzibil pentru parolele eșuate.De exemplu, majoritatea site-urilor web returnează un cod „eroare HTTP 401” cu o eroare de parolă, deși unele site-uri web returnează în schimb un cod „succes HTTP 200”, dar direcționează utilizatorul către o pagină care explică încercarea eșuată de parolă.Acest lucru păcălește unele sisteme automate, dar este, de asemenea, ușor de eludat.o soluție mai bună ar putea fi să varieze comportamentul suficient pentru a descuraja în cele din urmă toate, dar cei mai dedicați hackeri.,Puteți, de exemplu, să utilizați mesaje de eroare diferite de fiecare dată sau uneori să lăsați un utilizator să treacă la o pagină și apoi să-i solicitați din nou o parolă.

    unele instrumente automate de forță brută permit atacatorului să seteze anumite șiruri de declanșare pentru a căuta care indică o încercare eșuată de parolă.De exemplu, dacă pagina rezultată conține expresia „nume de utilizator sau parolă necorespunzătoare”, instrumentul ar ști că acreditările nu au reușit și ar încerca următoarea din listă.,O modalitate simplă de a păcăli aceste instrumente este să includeți și acele fraze ca comentarii în sursa HTML a paginii pe care o primesc atunci când se autentifică cu succes.după una sau două încercări eșuate de conectare, poate doriți să solicitați utilizatorului nu numai numele de utilizator și parola, ci și să răspundă la o întrebare secretă.Acest lucru nu numai că cauzează probleme cu atacurile automate, ci împiedică un atacator să obțină acces, chiar dacă au numele de utilizator și parola corecte.,de asemenea, puteți detecta un număr mare de atacuri la nivel de sistem și, în aceste condiții, solicitați tuturor utilizatorilor să răspundă la întrebările lor secrete.alte tehnici pe care ați putea dori să le luați în considerare sunt:

    • Pentru utilizatorii avansați care doresc să-și protejeze conturile de atac, dați-le opțiunea de a permite autentificarea numai de la anumite adrese IP.
    • alocați URL-uri unice de conectare blocurilor de utilizatori, astfel încât nu toți utilizatorii să poată accesa site-ul de la aceeași adresă URL.,
    • utilizați a pentru a preveni atacurile automate
    • în loc să blocați complet un cont, plasați-l într-un mod de blocare cu capacități limitate.

    Atacatorii pot de multe ori ocolesc multe dintre aceste tehnici de la sine, dar prin combinarea mai multor tehnici, puteți limita în mod semnificativ brute-force atacuri.Ar putea fi dificil pentru a opri un atacator care este determinată pentru a obține o parolă în mod special de la site-ul dvs., dar aceste tehnici, cu siguranță, poate fi eficient împotriva multor atacuri, inclusiv cele de la novice hackeri.,Aceste tehnici necesită, de asemenea, mai multă muncă din partea atacatorului, ceea ce vă oferă mai multe oportunități de a detecta atacul și poate chiar de a identifica atacatorul.

    Deși brute-force atacuri sunt dificil pentru a opri complet, ele sunt ușor de detectat, pentru că fiecare încercare eșuată de autentificare înregistrează o HTTP 401 cod de stare în jurnalele de server Web.Este important să se monitorizeze dvs. de log pentru brute-force atacuri – în special, amestecat 200 statuscodes înseamnă că atacatorul a găsit o parolă validă.,ins cu o trimitere URL-ul cuiva pe e-mail sau IRC client

  • Referindu-se Url-uri care conțin numele de utilizator și parola în format <http://user:/login.htm>
  • Dacă protejarea pe un site pentru adulți, referindu-se Url-uri cunoscute parola de partajare site-uri
  • Login-uri suspecte cu parole hackerii utilizați frecvent, cum ar fi ownsyou (ownzyou), washere (wazhere), fanatici, hacksyou, și cum ar fi

atacuri Brute force sunt surprinzător de dificil de a opri complet, dar cu un design atent și mai multe măsuri de contracarare, puteți limita expunerea la aceste atacuri.,în cele din urmă, singura cea mai bună apărare este să vă asigurați că utilizatorii respectă regulile de bază pentru parolele puternice: utilizați parole lungi imprevizibile, evitați cuvintele din dicționar, evitați reutilizarea parolelor și schimbați parolele în mod regulat.

un test Turing public complet automatizat pentru a distinge calculatoarele și oamenii în afară sau, este un program care vă permite să distingeți între oameni și computere.În primul rând utilizate pe scară largă de Alta Vista pentru a preveni depunerea de căutare automată, s sunt deosebit de eficiente în oprirea oricărui tip de abuz automat, inclusiv atacuri brute-force.,

ei lucrează prin prezentarea unor teste ușor de trecut pentru oameni, dar dificil de trecut pentru computere; prin urmare, pot concluziona cu o anumită certitudine dacă există un om la celălalt capăt.pentru ca a să fie eficient, oamenii trebuie să poată răspunde corect la test cât mai aproape de 100% din timp.Calculatoarele trebuie să eșueze cât mai aproape de 100% din timp.Cercetatorii de la Scoala de Informatica Carnegie Mellon continuu de lucru pentru a îmbunătăți și de a introduce noi s.,dacă vă dezvoltați propriul dvs. , rețineți că nu este cât de greu este întrebarea care contează-este cât de probabil este ca un computer să primească răspunsul corect.Am văzut o dată un care prezintă utilizatorului o imagine a trei zebre, cu o întrebare cu mai multe variante întrebând câte zebre au fost în picture.To răspundeți la întrebare, Faceți clic pe unul dintre cele trei butoane.deși ar fi foarte dificil pentru un program de calculator să înțeleagă atât întrebarea, cât și să interpreteze imaginea, programul ar putea ghici la întâmplare ORICE răspuns și să-l corecteze o treime din timp., Deși acest lucru ar putea părea un nivel satisfăcător de risc, nu este în niciun caz eficient .Dacă rulați un serviciu de e-mail gratuit și utilizați un astfel de serviciu pentru a împiedica spamerii să creeze conturi în vrac, tot ce trebuie să facă este să scrie un script pentru a crea automat 1,000 de conturi și să se aștepte, în medie, că 333 dintre aceste încercări vor avea succes.cu toate acestea, un simplu poate fi încă eficient împotriva atacurilor brute-force.,Când combinați șansa unui atacator de a trimite un nume de utilizator corect și parola ghici cu șansa de a ghici corect, combinate cu alte tehnici descrise în acest capitol, chiar și un simplu ar putea dovedi eficiente.

Figura 1: Parola de Autentificare Întârziere: C#

Figura 2: Parola de Autentificare Întârziere: VB.NET

Public Sub AuthenticateRequest(ByVal obj As Object, ByVal ea As System.EventArgs) Dim objApp As HttpApplication Dim objContext As HttpContext Dim ran As Random objApp = obj objContext = objApp.Context ' If user identity is not blank, pause for a random amount of time If objApp.User.Identity.Name <> "" Then ran = New Random Thread.Sleep(ran.Next(ran.Next(minSeconds, maxSeconds) * 1000)) End IfEnd Sub

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Sari la bara de unelte