之前我們講過關(guān)于“黑客1小時(shí)內(nèi)破解16位密碼”這樣可怕的事情，里面提及了很多安全專家反復(fù)提醒用戶設(shè)置賬戶和密碼時(shí)要盡可能多樣化，以防被破解。要知道，在這個(gè)大數(shù)據(jù)稱霸天下的時(shí)代，網(wǎng)絡(luò)安全意味著什么，意味著一切。

眾所周知，iCloud艷照門其實(shí)并不高明，黑客通過暴力破解攻擊不斷嘗試登錄用戶的賬號(hào)名和密碼，最終獲取好萊塢明星的iCloud賬號(hào)。什么是暴力破解攻擊？怎樣檢測暴力破解攻擊以及怎樣防護(hù)呢？

什么是暴力破解攻擊？

暴力破解攻擊是指攻擊者通過系統(tǒng)地組合所有可能性（例如登錄時(shí)用到的賬戶名、密碼），嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會(huì)經(jīng)常使用自動(dòng)化腳本組合出正確的用戶名和密碼。

對(duì)防御者而言，給攻擊者留的時(shí)間越長，其組合出正確的用戶名和密碼的可能性就越大。這就是為什么時(shí)間在檢測暴力破解攻擊時(shí)是如此的重要了。

怎樣檢測暴力破解攻擊？

暴力破解攻擊是通過巨大的嘗試次數(shù)獲得一定成功率的的。因此在web（應(yīng)用程序）日志上，你會(huì)經(jīng)常發(fā)現(xiàn)有很多的登錄失敗條目，而且這些條目的IP地址通常還是同個(gè)IP地址。有時(shí)你又會(huì)發(fā)現(xiàn)不同的IP地址會(huì)使用同一個(gè)賬戶、不同的密碼進(jìn)行登錄。

大量的暴力破解請(qǐng)求會(huì)導(dǎo)致服務(wù)器日志中出現(xiàn)大量異常記錄，從中你會(huì)發(fā)現(xiàn)一些奇怪的進(jìn)站前鏈接（referring urls），比如：http://user:password@website.com/login.html。

有時(shí)，攻擊者會(huì)用不同的用戶名和密碼頻繁的進(jìn)行登錄嘗試，這就給主機(jī)入侵檢測系統(tǒng)或者記錄關(guān)聯(lián)系統(tǒng)一個(gè)檢測到他們?nèi)肭值暮脵C(jī)會(huì)。當(dāng)然這里頭會(huì)有一些誤報(bào)，需要我們排除掉。例如，同一個(gè)IP地址用同一個(gè)密碼重復(fù)登錄同一個(gè)賬戶，這種情況可能只是一個(gè)還未更新密碼或者未獲得正確認(rèn)證的Web/移動(dòng)應(yīng)用程序而已，應(yīng)排除掉這種干擾因素。

怎樣防御暴力破解攻擊？

盡管暴力破解攻擊并不是很復(fù)雜的攻擊類型，但是如果你不能有效的監(jiān)控流量和分析的話，它還是會(huì)有機(jī)可乘的。因此，你需要對(duì)用戶請(qǐng)求的數(shù)據(jù)做分析，排除來自用戶的正常訪問并根據(jù)優(yōu)先級(jí)排列出最嚴(yán)重最緊急的威脅，然后做出響應(yīng)。

安全研究人員開發(fā)了一個(gè)由內(nèi)置關(guān)聯(lián)規(guī)則驅(qū)動(dòng)的IDS（入侵檢測系統(tǒng)）和記錄關(guān)聯(lián)系統(tǒng)，它可以及時(shí)通知你是否受到了攻擊者的暴力破解攻擊。系統(tǒng)警報(bào)儀表會(huì)顯示所有的威脅，并按威脅級(jí)別分類。

如圖，泡沫越大，就說明在這一時(shí)間內(nèi)的威脅越廣泛。

‍‍在下面這張圖中，系統(tǒng)記錄的細(xì)節(jié)已經(jīng)被解譯成我們可以理解的內(nèi)容了：可疑的209.239.114.179正在嘗試SSH登錄

‍

‍‍系統(tǒng)‍‍‍‍還會(huì)把IP信息‍威脅信息分享平臺(tái)‍進(jìn)行‍‍‍‍核對(duì)。

下圖中展示的是可疑IP在威脅信息分享平臺(tái)上的所有信息，包括了與之相關(guān)聯(lián)的任何惡意活動(dòng)。系統(tǒng)會(huì)對(duì)可能性最大的IP進(jìn)行阻斷，進(jìn)而防止其進(jìn)一步的暴力破解。

‍‍

最新評(píng)論