安全科普:什么是暴力破解攻擊?如何檢測和防御?
責(zé)編:admin |2014-11-24 16:55:22眾所周知,iCloud艷照門其實(shí)并不高明,黑客通過暴力破解攻擊不斷嘗試登錄用戶的賬號名和密碼,最終獲取好萊塢明星的iCloud賬號。什么是暴力破解攻擊?怎樣檢測暴力破解攻擊以及怎樣防護(hù)呢?
什么是暴力破解攻擊?
暴力破解攻擊是指攻擊者通過系統(tǒng)地組合所有可能性(例如登錄時(shí)用到的賬戶名、密碼),嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會經(jīng)常使用自動(dòng)化腳本組合出正確的用戶名和密碼。
對防御者而言,給攻擊者留的時(shí)間越長,其組合出正確的用戶名和密碼的可能性就越大。這就是為什么時(shí)間在檢測暴力破解攻擊時(shí)是如此的重要了。
怎樣檢測暴力破解攻擊?
暴力破解攻擊是通過巨大的嘗試次數(shù)獲得一定成功率的的。因此在web(應(yīng)用程序)日志上,你會經(jīng)常發(fā)現(xiàn)有很多的登錄失敗條目,而且這些條目的IP地址通常還是同個(gè)IP地址。有時(shí)你又會發(fā)現(xiàn)不同的IP地址會使用同一個(gè)賬戶、不同的密碼進(jìn)行登錄。
大量的暴力破解請求會導(dǎo)致服務(wù)器日志中出現(xiàn)大量異常記錄,從中你會發(fā)現(xiàn)一些奇怪的進(jìn)站前鏈接(referring urls),比如:http://user:password@website.com/login.html。
有時(shí),攻擊者會用不同的用戶名和密碼頻繁的進(jìn)行登錄嘗試,這就給主機(jī)入侵檢測系統(tǒng)或者記錄關(guān)聯(lián)系統(tǒng)一個(gè)檢測到他們?nèi)肭值暮脵C(jī)會。當(dāng)然這里頭會有一些誤報(bào),需要我們排除掉。例如,同一個(gè)IP地址用同一個(gè)密碼重復(fù)登錄同一個(gè)賬戶,這種情況可能只是一個(gè)還未更新密碼或者未獲得正確認(rèn)證的Web/移動(dòng)應(yīng)用程序而已,應(yīng)排除掉這種干擾因素。
怎樣防御暴力破解攻擊?
盡管暴力破解攻擊并不是很復(fù)雜的攻擊類型,但是如果你不能有效的監(jiān)控流量和分析的話,它還是會有機(jī)可乘的。因此,你需要對用戶請求的數(shù)據(jù)做分析,排除來自用戶的正常訪問并根據(jù)優(yōu)先級排列出最嚴(yán)重最緊急的威脅,然后做出響應(yīng)。
安全研究人員開發(fā)了一個(gè)由內(nèi)置關(guān)聯(lián)規(guī)則驅(qū)動(dòng)的IDS(入侵檢測系統(tǒng))和記錄關(guān)聯(lián)系統(tǒng),它可以及時(shí)通知你是否受到了攻擊者的暴力破解攻擊。系統(tǒng)警報(bào)儀表會顯示所有的威脅,并按威脅級別分類。
如圖,泡沫越大,就說明在這一時(shí)間內(nèi)的威脅越廣泛。
在下面這張圖中,系統(tǒng)記錄的細(xì)節(jié)已經(jīng)被解譯成我們可以理解的內(nèi)容了:可疑的209.239.114.179正在嘗試SSH登錄
系統(tǒng)還會把IP信息與威脅信息分享平臺進(jìn)行核對。
下圖中展示的是可疑IP在威脅信息分享平臺上的所有信息,包括了與之相關(guān)聯(lián)的任何惡意活動(dòng)。系統(tǒng)會對可能性最大的IP進(jìn)行阻斷,進(jìn)而防止其進(jìn)一步的暴力破解。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧