安全科普:什么是暴力破解攻击?如何检测和防御?


发布人:admin分类:网络安全浏览量:29发布时间:2017-12-12

众所周知,iCloud艳照门其实并不高明,黑客通过暴力破解攻击不断尝试登录用户的账号名和密码,最终获取好莱坞明星的iCloud账号。什么是暴力破解攻击?怎样检测暴力破解攻击以及怎样防护呢?

什么是暴力破解攻击?

暴力破解攻击是指攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。

对防御者而言,给攻击者留的时间越长,其组合出正确的用户名和密码的可能性就越大。这就是为什么时间在检测暴力破解攻击时是如此的重要了。

怎样检测暴力破解攻击?

暴力破解攻击是通过巨大的尝试次数获得一定成功率的的。因此在web(应用程序)日志上,你会经常发现有很多的登录失败条目,而且这些条目的IP地址通常还是同个IP地址。有时你又会发现不同的IP地址会使用同一个账户、不同的密码进行登录。

大量的暴力破解请求会导致服务器日志中出现大量异常记录,从中你会发现一些奇怪的进站前链接(referring urls),比如:http://user:password@website.com/login.html。

有时,攻击者会用不同的用户名和密码频繁的进行登录尝试,这就给主机入侵检测系统或者记录关联系统一个检测到他们入侵的好机会。当然这里头会有一些误报,需要我们排除掉。例如,同一个IP地址用同一个密码重复登录同一个账户,这种情况可能只是一个还未更新密码或者未获得正确认证的Web/移动应用程序而已,应排除掉这种干扰因素。

怎样防御暴力破解攻击?

尽管暴力破解攻击并不是很复杂的攻击类型,但是如果你不能有效的监控流量和分析的话,它还是会有机可乘的。因此,你需要对用户请求的数据做分析,排除来自用户的正常访问并根据优先级排列出最严重最紧急的威胁,然后做出响应。

安全研究人员开发了一个由内置关联规则驱动的IDS(入侵检测系统)和记录关联系统,它可以及时通知你是否受到了攻击者的暴力破解攻击。系统警报仪表会显示所有的威胁,并按威胁级别分类。

如图,泡沫越大,就说明在这一时间内的威胁越广泛。

‍在下面这张图中,系统记录的细节已经被解译成我们可以理解的内容了:可疑的209.239.114.179正在尝试SSH登录

‍系统‍‍‍‍还会把IP信息‍与威胁信息分享平台‍进行‍‍‍‍核对。

下图中展示的是可疑IP在威胁信息分享平台上的所有信息,包括了与之相关联的任何恶意活动。系统会对可能性最大的IP进行阻断,进而防止其进一步的暴力破解。

‍‍

‍‍[参考来源http://thehackernews.com,FreeBuf编译,有删减,转载请注明来自Freebuf.COM]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21380123(PV) 页面执行时间:96.003(MS)
  • xml
  • 网站地图