什么是暴力破解
暴力破解 (Brue Force) 是一种攻击方法 (穷举法),简称为"爆破",黑客通过反复猜解和实验,旨在以暴力手段登入、访问目标主机获取服务,破坏系统安全,其属于 ATT&CK技术中的一种,常利用猜测、破解、喷洒、撞库四种子技术实现,经常作为其他漏洞攻击的载体
四项技术
密码猜测
在不了解系统环境的情况下,攻击者通过常见密码字典来猜测密码,并尝试登录
密码破解
在获取到加密的凭证材料 (Hash值) 后,将凭据恢复为纯文本密码
密码喷酒
使用少量密码或常见的密码列表,获取有效账户凭据
撞库
通过收集历史泄露数据以获得凭据 (数据库) ,利用自动化工具尝试登录到其他网站
两种方式
远程通讯法
确定攻击目标,使用暴力枝举等方武获取可供登录的账号,再通过字典或特定规则生成测试密码,以多进程的方式建立通信,发送并检测是否通过
本地破解法
把获取到的加密密码保存到本地。再将本地生成的账号和密码以同样的算法加密并进行比对
漏洞原理
理论上,大多数的系统都是可以暴力破解的,在日益增长的互联网网站基数下web网站没有采用,或者采用了较弱的安全策略认证机制,导致密码很可能被猜出。攻击者通过计算机强大的计算能力,对字典中的内容逐一尝试,直至匹配到正确的口令或密码。即使是新手也可以破坏数据并削弱大公司的系统。
产生原因
人为因素的影响,服务器端未采取完备的认证机制。
猜
暴力破解工具
Hydra是一个并行登录破解程序,支持多种协议攻击。使用简单快捷,且易于添加新模块它支持:FTP,HTTPS,IMAP,LDAP,MySOL,SMTP,SOCKS5,SSH(v1和v2), SSHKEY,Telnet.VMware-Auth、XMPP等多种协议和服务的破解
暴力破解目标
目标:子域名、加密算法、用户名和密码、API密钥或令牌、文字或图形验证码、网站目录
常见的防御策略
一、使用强密码
让用户注册的密码满足一定的复杂度要求,同时保证用户更改密码不应。是最近使用过的密码。增大黑客破解密码的难度。
二、错误次数限制
限定用户的密码错误输入次数,在达到限定次数后锁定登录入口,需要管理员解锁。
三、双重验证
双重认证 (2FA) 即通过私密信息个人物品和生理特征其中两项因素来验证用户的身份。
四、密码期限
对密码的使用期限做限制,使密码的最长期限小于密码算法暴力破解所需的最短时间。
暴力破解的危害
1.数据泄露
成功的暴力破解攻击可能导致用户账户、敏感信息、个人资料和机密数据的泄露,就曾遭遇过撞库攻击,导致大量账户信息泄露。
2.信任危机
攻击者通过获取到的凭证登录用户,发布虚假信息,窃取资金,导致用户对网站的信用度降低。
3.服务中断
大规模的暴力破解会使系统,应用程序和网络负载过重,严重时导致服务中断,导致DOS或DDOS攻击