安全科普:什么是暴力破解攻擊?如何檢測和防御?
責編:admin |2014-11-24 16:55:22眾所周知,iCloud艷照門其實并不高明,黑客通過暴力破解攻擊不斷嘗試登錄用戶的賬號名和密碼,最終獲取好萊塢明星的iCloud賬號。什么是暴力破解攻擊?怎樣檢測暴力破解攻擊以及怎樣防護呢?
什么是暴力破解攻擊?
暴力破解攻擊是指攻擊者通過系統地組合所有可能性(例如登錄時用到的賬戶名、密碼),嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會經常使用自動化腳本組合出正確的用戶名和密碼。
對防御者而言,給攻擊者留的時間越長,其組合出正確的用戶名和密碼的可能性就越大。這就是為什么時間在檢測暴力破解攻擊時是如此的重要了。
怎樣檢測暴力破解攻擊?
暴力破解攻擊是通過巨大的嘗試次數獲得一定成功率的的。因此在web(應用程序)日志上,你會經常發現有很多的登錄失敗條目,而且這些條目的IP地址通常還是同個IP地址。有時你又會發現不同的IP地址會使用同一個賬戶、不同的密碼進行登錄。
大量的暴力破解請求會導致服務器日志中出現大量異常記錄,從中你會發現一些奇怪的進站前鏈接(referring urls),比如:http://user:password@website.com/login.html。
有時,攻擊者會用不同的用戶名和密碼頻繁的進行登錄嘗試,這就給主機入侵檢測系統或者記錄關聯系統一個檢測到他們入侵的好機會。當然這里頭會有一些誤報,需要我們排除掉。例如,同一個IP地址用同一個密碼重復登錄同一個賬戶,這種情況可能只是一個還未更新密碼或者未獲得正確認證的Web/移動應用程序而已,應排除掉這種干擾因素。
怎樣防御暴力破解攻擊?
盡管暴力破解攻擊并不是很復雜的攻擊類型,但是如果你不能有效的監控流量和分析的話,它還是會有機可乘的。因此,你需要對用戶請求的數據做分析,排除來自用戶的正常訪問并根據優先級排列出最嚴重最緊急的威脅,然后做出響應。
安全研究人員開發了一個由內置關聯規則驅動的IDS(入侵檢測系統)和記錄關聯系統,它可以及時通知你是否受到了攻擊者的暴力破解攻擊。系統警報儀表會顯示所有的威脅,并按威脅級別分類。
如圖,泡沫越大,就說明在這一時間內的威脅越廣泛。
在下面這張圖中,系統記錄的細節已經被解譯成我們可以理解的內容了:可疑的209.239.114.179正在嘗試SSH登錄
系統還會把IP信息與威脅信息分享平臺進行核對。
下圖中展示的是可疑IP在威脅信息分享平臺上的所有信息,包括了與之相關聯的任何惡意活動。系統會對可能性最大的IP進行阻斷,進而防止其進一步的暴力破解。