Brute Force Attack Là Gì

 - 

Ngày nay, các cá thể sở hữu nhiều tài khoản và có rất nhiều mật khẩu. Mọi fan có xu hướng sử dụng liên tiếp một vài ba mật khẩu đối chọi giản, điều này khiến cho họ dễ dàng bị tấn công Brute Force. Vậy brute-force là gì?

Hôm nay bản thân sẽ trình làng cho chúng ta về tiến công Brute Force hay còn được gọi là Brute Force Attack. Đây là một trong kiểu tấn công cổ xưa nhưng vẫn được các hacker ngày này ưa phù hợp bởi tính đơn giản dễ dàng nhưng có thể đem lại hậu quả không hề nhỏ của nó.

Bạn đang xem: Brute force attack là gì

1. Khái niệm

Tấn công brute-force là 1 trong phương pháp bẻ khóa phổ thay đổi . Một cuộc tấn công brute-force tương quan đến việc "đoán" tên người dùng và mật khẩu đăng nhập để truy vấn trái phép vào hệ thống, tin tặc sẽ sử dụng phương thức thử với sai để cố gắng đoán tin tức đăng nhập hợp lệ. Dường như ta rất có thể sử dụng brute-force để khai thác OTP, Timestamp , Cookie, vv... Mặc dù nhiên bài viết này sẽ triệu tập vào brute-force mật khẩu để đăng nhập tài khoản người dùng.

Các cuộc tấn công này hay được auto hóa bằng cách sử dụng danh sách những từ bao gồm tên người dùng và mật khẩu thường được thực hiện để có thể đạt được công dụng tốt nhất. Vấn đề sử dụng những công cụ chuyên dụng có khả năng cho phép hacker triển khai đăng nhập 1 cách tự động những lần với tốc độ cao.

Brute-force là một phương thức tấn công đơn giản và dễ dàng và có tỷ lệ thành công cao. Cũng chính vì tùy thuộc vào độ dài với độ phức tạp của mật khẩu, việc bẻ khóa mật khẩu có thể mất từ vài giây đến nhiều năm. Bởi đó những trang web áp dụng phương thức đăng nhập dựa trên mật khẩu trả toàn có thể rất dễ dàng bị tiến công nếu họ không thực hiện không thiếu thốn biện pháp đảm bảo bạo lực.

2. Nguyên nhân

Hình thức tấn công brute-force dễ phòng chống nhưng lại rất dễ chạm mặt phải. Tại sao của kiểu tấn công này là do:

Đặt mật khẩu ko an toàn, dễ dàng đoán ra, thực hiện phổ biến.Sử dụng mật khẩu tương quan đến bạn dạng thân hoàn toàn có thể dễ lấy được bên trên các social như: tên, ngày sinh.Từ phía sever, việc không giới hạn số lần nhập sai có thể tạo cơ hội cho hacker rất có thể tấn công brute-force.3. Hậu quả

Việc ăn cắp được mật khẩu người tiêu dùng luôn kèm theo với đông đảo hậu quả vô cùng nghiêm trọng. Rất có thể nhìn thấy ngay, nàn nhân của Brute Force Attack sẽ bị lộ tin tức đăng nhập và tổng thể thông tin của thông tin tài khoản đó.

Mức độ cực kỳ nghiêm trọng sẽ tùy nằm trong vào loại tin tức bị rò rỉ. Nếu thông tin tài khoản bị đánh tráo là tài khoản đặc trưng của 1 tổ chức nào kia thì cơ sở dữ liệu nhạy cảm từ cục bộ tổ chức rất có thể bị lộ trong số vụ phạm luật dữ liệu cấp doanh nghiệp .

Ngoài ra, việc Brute-Force với gia tốc cao có thể coi như một kiểu tiến công DOS vào hệ thống web kia dẫn tới hoàn toàn có thể treo cả server giả dụ server đó yếu.

4. Các công ráng khai thác

*

Việc đoán mật khẩu email hoặc trang web mạng xã hội của tín đồ dùng hoàn toàn có thể là một quy trình tốn những thời gian, đặc trưng nếu tài khoản có password mạnh. Để đơn giản hóa quy trình này, hacker đã phát triển ứng dụng và công cụ để giúp họ bẻ khóa mật khẩu.

Các công cụ tấn công brute-force bao hàm các ứng dụng bẻ khóa mật khẩu, unlock các tổ hợp tên người tiêu dùng và mật khẩu đăng nhập mà sẽ tương đối khó để một người tự bẻ khóa. Những công cụ tiến công brute-force hay được áp dụng bao gồm:

a. Aircrack-ng:

Một bộ điều khoản đánh giá bình an mạng Wi-Fi để tính toán và xuất dữ liệu và tấn công một tổ chức trải qua các phương pháp như điểm truy hỏi cập hàng nhái và chèn gói.

Xem thêm: Các Món Chế Biến Từ Bí Đỏ - Các Món Ngon Chế Biến Từ Bí Đỏ

b. John the Ripper:

Một công cụ phục sinh mật khẩu mã nguồn mở cung ứng hàng trăm loại mật mã và băm, bao gồm mật khẩu người dùng cho macOS, Unix với Windows, máy chủ cơ sở dữ liệu, vận dụng web, lưu lượng truy vấn mạng, khóa cá nhân được mã hóa với tệp tài liệu.

c. Hydra:

Hydra là một trong những nền tảng mở, được xã hội bảo mật và phần lớn kẻ tấn công tiếp tục phát triển những mô-đun mới. Nó có thể tấn công hơn 50 giao thức cùng trên các hệ quản lý điều hành khác nhau.

d. L0phtCrack:

Một công cụ bẻ khóa mật khẩu Windows. Nó thực hiện bảng mong vồng, trường đoản cú điển và các thuật toán đa xử lý.

e. Burpsuite:

Burpsuite không phải là một công cụ chuyên được dùng để tiến công brute-force, tuy nhiên bạn hoàn toàn có thể thiết lập cấu hình đầu vào bộ mật khẩu để hướng về 1 cuộc tấn công brute-force tùy ý.

5. Demo khai quật và phân tích

Sau trên đây mình đang thử khai quật lấy password bởi brute-force. Bản thân sẽ nỗ lực làm thủ công nhất rất có thể để chúng ta đọc hoàn toàn có thể hiểu được giải pháp mà hacker sử dụng brute-force để đưa dữ liệu. Việc khai quật sẽ trên portswigger và thực hiện công cụ Burpsuite nhằm khai thác. Link khai thác tại đây.

Vào khai thác sẽ cho doanh nghiệp 1 trang đăng nhập. Trách nhiệm mình đã là sử dụng kỹ thuật brute-force để mang được username và password của người dùng và singin vào để mang dữ liệu. Triển khai đăng nhập với 1 giá trị ngẫu nhiên ta được:

*

Kết trái trả về là Invalid username . Như vậy hoàn toàn có thể hiểu lúc nhập vào 1 username không tồn tại thì sẽ sở hữu được thông báo Invalid username, nên có thể suy luận ví như mình nhập đúng username thì tác dụng trả về vẫn khác. Phụ thuộc đó mình sẽ sử dụng brute-force để mò ra username. áp dụng burpsuite bắt request ta được:

*

Chuyển request quý phái intruder. Trên tab Positionschọn clear$. Kế tiếp bôi black giá trị username và chọn add$ sau khi ta làm kết thúc sẽ được như sau:

*

Việc làm trên sẽ khiến các giá bán trị kế tiếp truyền vào sẽ được chuyển thành quý giá của username. Tiếp theo, tiến hành copy list username, list username của bài xích trên vẫn được giới hạn lại để dễ dàng làm. Danh sách có thể lấy trên đây.

Trong thực tế, danh sách username cùng password thường sẽ rất dài để rất có thể thử các trường hợp hơn, các chúng ta cũng có thể tự tạo list cho bản thân hoặc tìm kiếm những list username và password thịnh hành trên github như: https://github.com/duyet/bruteforce-database.

Quay lại bài, đưa sang tab Payloads, tại Payload Options lựa chọn paste username đã lấy ta được:

*

Tiếp tục gửi sang tab Options. Trên Grep-Match chọn clear, tiếp nối ta thêm Invalid username vào và lựa chọn Add:

*

Việc này đang khiến tác dụng trả về triển khai kiểm tra trong response tất cả ký trường đoản cú Invalid username xuất xắc không. Tiến hành attack cùng đợi tác dụng trả về:

*

Để ý cột Invalid username tại hiệu quả trả về, ví như trong response gồm ký tự Invalid username thì hiệu quả sẽ có dấu tích, vậy nên là không nên username. Suy ra username=antivirus theo hiệu quả trên vẫn là username đúng.Thực hiện tại tương tự để đưa password:

*

Thực hiện nay lấy danh sách password tại đây:

*

Thực hiện attack ta nhận được kết quả:

*

Thông thường khi đăng nhập thành công thì website sẽ tự động hóa chuyển hướng sang trang chủ khai thác. Vì vậy kết quả tại cột Status vẫn trả về là 302. Nhờ vào đó ta nhận được password=andrew.Thực hiện singin với username=antivirus&password=andrew ta được:

*

Vậy là thành công xuất sắc đăng nhập vào thông tin tài khoản của nạn nhân bằng cách sử dụng brute-force.

Xem thêm: 100+ Tải Ảnh Trai Đẹp 16 Tuổi Làm Video Ảo Thuật Điêu Luyện, Ảnh Hot Boy 15 Tuổi

6. Giải pháp khắc phục

Việc khắc chế brute-force hoàn toàn có thể đến trường đoản cú 2 phía: người dùng và quản trị trang web.