之前我們講過關于“黑客1小時內破解16位密碼”這樣可怕的事情，里面提及了很多安全專家反復提醒用戶設置賬戶和密碼時要盡可能多樣化，以防被破解。要知道，在這個大數(shù)據(jù)稱霸天下的時代，網絡安全意味著什么，意味著一切。

眾所周知，iCloud艷照門其實并不高明，黑客通過暴力破解攻擊不斷嘗試登錄用戶的賬號名和密碼，最終獲取好萊塢明星的iCloud賬號。什么是暴力破解攻擊？怎樣檢測暴力破解攻擊以及怎樣防護呢？

什么是暴力破解攻擊？

暴力破解攻擊是指攻擊者通過系統(tǒng)地組合所有可能性（例如登錄時用到的賬戶名、密碼），嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會經常使用自動化腳本組合出正確的用戶名和密碼。

對防御者而言，給攻擊者留的時間越長，其組合出正確的用戶名和密碼的可能性就越大。這就是為什么時間在檢測暴力破解攻擊時是如此的重要了。

怎樣檢測暴力破解攻擊？

暴力破解攻擊是通過巨大的嘗試次數(shù)獲得一定成功率的的。因此在web（應用程序）日志上，你會經常發(fā)現(xiàn)有很多的登錄失敗條目，而且這些條目的IP地址通常還是同個IP地址。有時你又會發(fā)現(xiàn)不同的IP地址會使用同一個賬戶、不同的密碼進行登錄。

大量的暴力破解請求會導致服務器日志中出現(xiàn)大量異常記錄，從中你會發(fā)現(xiàn)一些奇怪的進站前鏈接（referring urls），比如：http://user:password@website.com/login.html。

有時，攻擊者會用不同的用戶名和密碼頻繁的進行登錄嘗試，這就給主機入侵檢測系統(tǒng)或者記錄關聯(lián)系統(tǒng)一個檢測到他們入侵的好機會。當然這里頭會有一些誤報，需要我們排除掉。例如，同一個IP地址用同一個密碼重復登錄同一個賬戶，這種情況可能只是一個還未更新密碼或者未獲得正確認證的Web/移動應用程序而已，應排除掉這種干擾因素。

怎樣防御暴力破解攻擊？

盡管暴力破解攻擊并不是很復雜的攻擊類型，但是如果你不能有效的監(jiān)控流量和分析的話，它還是會有機可乘的。因此，你需要對用戶請求的數(shù)據(jù)做分析，排除來自用戶的正常訪問并根據(jù)優(yōu)先級排列出最嚴重最緊急的威脅，然后做出響應。

安全研究人員開發(fā)了一個由內置關聯(lián)規(guī)則驅動的IDS（入侵檢測系統(tǒng)）和記錄關聯(lián)系統(tǒng)，它可以及時通知你是否受到了攻擊者的暴力破解攻擊。系統(tǒng)警報儀表會顯示所有的威脅，并按威脅級別分類。

如圖，泡沫越大，就說明在這一時間內的威脅越廣泛。

‍‍在下面這張圖中，系統(tǒng)記錄的細節(jié)已經被解譯成我們可以理解的內容了：可疑的209.239.114.179正在嘗試SSH登錄

‍

‍‍系統(tǒng)‍‍‍‍還會把IP信息‍威脅信息分享平臺‍進行‍‍‍‍核對。

下圖中展示的是可疑IP在威脅信息分享平臺上的所有信息，包括了與之相關聯(lián)的任何惡意活動。系統(tǒng)會對可能性最大的IP進行阻斷，進而防止其進一步的暴力破解。

‍‍

最新評論