Der Brute-Force-Angriff ist immer noch eine der beliebtesten Methoden zum Knacken von Passwörtern. Trotzdem ist es nicht nur zum Knacken von Passwörtern. Brute-Force-Angriffe können auch verwendet werden, um versteckte Seiten und Inhalte in einer Webanwendung zu erkennen. Dieser Angriff ist im Grunde genommen ein „Hit and Try“, bis Sie erfolgreich sind. Dieser Angriff dauert manchmal länger, aber seine Erfolgsrate ist höher.
In diesem Artikel werde ich versuchen, Brute-Force-Angriffe und beliebte Tools zu erklären in verschiedenen Szenarien für die Durchführung von Brute-Force-Angriffen, um die gewünschten Ergebnisse zu erzielen.
Was ist ein Brute-Force-Angriff?
Ein Brute-Force-Angriff, wenn ein Angreifer a verwendet Satz vordefinierter Werte, um ein Ziel anzugreifen und die Reaktion zu analysieren, bis es erfolgreich ist. Der Erfolg hängt von dem Satz vordefinierter Werte ab. Wenn er größer ist, dauert es länger, aber es besteht eine bessere Erfolgswahrscheinlichkeit.
Das häufigste und am einfachsten zu verstehende Beispiel für einen Brute-Force-Angriff ist der Wörterbuchangriff zum Knacken von Kennwörtern. In diesem Fall verwendet der Angreifer ein Kennwortwörterbuch, das Millionen von Wörtern enthält, die als Kennwort verwendet werden können. Der Angreifer versucht diese Kennwörter eins nach dem anderen zur Authentifizierung. Wenn dieses Wörterbuch das richtige Passwort enthält, wi der Angreifer wi Dies ist erfolgreich.
Bei einem herkömmlichen Brute-Force-Angriff versucht der Angreifer lediglich, Buchstaben und Zahlen zu kombinieren, um nacheinander ein Kennwort zu generieren. Diese traditionelle Technik dauert jedoch länger, wenn das Kennwort lang genug ist. Diese Angriffe können je nach verwendetem System und Länge des Kennworts einige Minuten bis mehrere Stunden oder mehrere Jahre dauern.
Um das Knacken von Kennwörtern durch Brute-Force-Angriffe zu verhindern, sollten immer lange und komplexe Kennwörter verwendet werden. Dies macht es Angreifern schwer, das Passwort zu erraten, und Brute-Force-Angriffe dauern zu lange. Die Kontosperrung ist eine weitere Möglichkeit, um zu verhindern, dass der Angreifer Brute-Force-Angriffe auf Webanwendungen ausführt. Bei Offline-Software sind die Dinge jedoch nicht so einfach zu sichern.
Ebenso versucht der Angreifer beim Erkennen versteckter Seiten, den Namen der Seite zu erraten, sendet Anforderungen und sieht die Antwort. Wenn die Seite nicht vorhanden ist, wird eine 404-Antwort angezeigt. Bei einem Erfolg beträgt die Antwort 200. Auf diese Weise können versteckte Seiten auf jeder Website gefunden werden.
Brute Force wird auch verwendet, um den Hash zu knacken und ein Passwort aus einem bestimmten Hash zu erraten. Dabei wird der Hash aus zufälligen Passwörtern generiert und dieser Hash wird dann mit einem Ziel-Hash abgeglichen, bis der Angreifer den richtigen findet. Je höher die Art der Verschlüsselung (64-Bit-, 128-Bit- oder 256-Bit-Verschlüsselung) ist, die zum Verschlüsseln des Kennworts verwendet wird, desto länger kann die Unterbrechung dauern.
Brute-Force-Angriff umkehren
Ein umgekehrter Brute-Force-Angriff ist ein weiterer Begriff, der mit dem Knacken von Passwörtern verbunden ist. Beim Knacken von Passwörtern erfolgt ein umgekehrter Ansatz. Dabei versucht der Angreifer ein Passwort gegen mehrere Benutzernamen. Stellen Sie sich vor, Sie kennen ein Passwort, haben aber keine Ahnung von den Benutzernamen. In diesem Fall können Sie dasselbe Kennwort ausprobieren und die verschiedenen Benutzernamen erraten, bis Sie die funktionierende Kombination gefunden haben.
Jetzt wissen Sie, dass ein Brute-Forcing-Angriff hauptsächlich zum Knacken von Kennwörtern verwendet wird. Sie können es in jeder Software, jeder Website oder jedem Protokoll verwenden, das Anforderungen nach einigen ungültigen Versuchen nicht blockiert. In diesem Beitrag werde ich einige Brute-Force-Tools zum Knacken von Passwörtern für verschiedene Protokolle hinzufügen.
Beliebte Tools für Brute-Force-Angriffe
Aircrack-ng
Ich bin sicher, Sie kennen das Aircrack-ng-Tool bereits. Dies ist ein beliebtes Brute-Force-Tool zum Knacken von WLAN-Passwörtern, das kostenlos erhältlich ist. Ich habe dieses Tool auch in unserem älteren Beitrag über die beliebtesten Tools zum Knacken von Passwörtern erwähnt. Dieses Tool wird mit WEP / WPA / WPA2-PSK-Cracker- und Analysetools geliefert, mit denen Angriffe auf Wi-Fi 802.11 ausgeführt werden können. Aircrack-ng kann für jede Netzwerkkarte verwendet werden, die den Raw-Überwachungsmodus unterstützt.
Grundsätzlich werden Wörterbuchangriffe gegen ein drahtloses Netzwerk ausgeführt, um das Kennwort zu erraten. Wie Sie bereits wissen, hängt der Erfolg des Angriffs vom Wörterbuch der Passwörter ab. Je besser und effektiver das Kennwortwörterbuch ist, desto wahrscheinlicher ist es, dass es das Kennwort knackt.
Es ist für Windows- und Linux-Plattformen verfügbar. Es wurde auch für die Ausführung auf iOS- und Android-Plattformen portiert. Sie können es auf bestimmten Plattformen ausprobieren, um zu sehen, wie dieses Tool zum Knacken von Brute-Force-WLAN-Passwörtern verwendet werden kann.
Laden Sie Aircrack-ng hier herunter.
John the Ripper
John the Ripper ist ein weiteres großartiges Tool, das keiner Einführung bedarf. Es ist seit langem eine beliebte Wahl für Brute-Force-Angriffe. Diese kostenlose Software zum Knacken von Passwörtern wurde ursprünglich für Unix-Systeme entwickelt. Später veröffentlichten Entwickler es für verschiedene andere Plattformen. Jetzt werden fünfzehn verschiedene Plattformen unterstützt, darunter Unix, Windows, DOS, BeOS und OpenVMS.
Sie können dies entweder verwenden, um schwache Kennwörter zu identifizieren oder um Kennwörter zu knacken, um die Authentifizierung zu unterbrechen.
Dieses Tool ist sehr beliebt und kombiniert verschiedene Funktionen zum Knacken von Kennwörtern. Es kann automatisch die Art des in einem Passwort verwendeten Hashing erkennen. Daher können Sie es auch für die Speicherung verschlüsselter Kennwörter ausführen.
Grundsätzlich können Brute-Force-Angriffe mit allen möglichen Kennwörtern ausgeführt werden, indem Text und Zahlen kombiniert werden. Sie können es jedoch auch mit einem Wörterbuch mit Kennwörtern verwenden, um Wörterbuchangriffe auszuführen.
Laden Sie John the Ripper hier herunter.
Rainbow Crack
Rainbow Crack ist ebenfalls vorhanden Ein beliebtes Brute-Forcing-Tool zum Knacken von Passwörtern. Es werden Regenbogentabellen generiert, die während des Angriffs verwendet werden können. Auf diese Weise unterscheidet es sich von anderen herkömmlichen Brute-Forcing-Werkzeugen. Regenbogentabellen sind vorberechnet. Dies hilft, die Zeit für die Durchführung des Angriffs zu verkürzen.
Das Gute ist, dass es verschiedene Organisationen gibt, die bereits die Regenbogentabellen vor dem Computer für alle Internetnutzer veröffentlicht haben. Um Zeit zu sparen, können Sie diese Regenbogentabellen herunterladen und für Ihre Angriffe verwenden.
Dieses Tool befindet sich noch in der aktiven Entwicklung. Es ist sowohl für Windows als auch für Linux verfügbar und unterstützt alle neuesten Versionen dieser Plattformen.
Laden Sie Rainbow Crack herunter und lesen Sie hier mehr über dieses Tool.
L0phtCrack
L0phtCrack ist bekannt für seine Fähigkeit, Windows-Passwörter zu knacken. Es verwendet Wörterbuchangriffe, Brute-Force-Angriffe, Hybridangriffe und Regenbogentabellen. Die bemerkenswertesten Funktionen von L0phtcrack sind Zeitplanung, Hash-Extraktion aus 64-Bit-Windows-Versionen, Multiprozessor-Algorithmen sowie Netzwerküberwachung und -decodierung. Wenn Sie das Kennwort eines Windows-Systems knacken möchten, können Sie dieses Tool ausprobieren.
Laden Sie L0phtCrack hier herunter.
Ophcrack
Ophcrack ist ein weiteres Brute-Forcing Tool, das speziell zum Knacken von Windows-Passwörtern verwendet wird. Es knackt Windows-Passwörter, indem es LM-Hashes durch Regenbogentabellen verwendet. Es ist ein kostenloses Open-Source-Tool.
In den meisten Fällen kann ein Windows-Kennwort in wenigen Minuten geknackt werden. Standardmäßig wird Ophcrack mit Regenbogentabellen geliefert, um Kennwörter mit weniger als 14 Zeichen zu knacken, die nur alphanumerische Zeichen enthalten. Andere Regenbogentabellen können ebenfalls heruntergeladen werden.
Ophcrack ist auch als LiveCD verfügbar.
Laden Sie Ophcrack hier herunter.
Hashcat
Hashcat behauptet, das schnellste CPU-basierte Tool zum Knacken von Passwörtern zu sein. Es ist kostenlos und für Linux-, Windows- und Mac OS-Plattformen erhältlich. Hashcat unterstützt verschiedene Hashing-Algorithmen, darunter LM Hashes, MD4, MD5, SHA-Familie, Unix Crypt-Formate, MySQL und Cisco PIX. Es unterstützt verschiedene Angriffe, einschließlich Brute-Force-Angriffe, Kombinator-Angriffe, Wörterbuch-Angriffe, Fingerabdruck-Angriffe, Hybrid-Angriffe, Masken-Angriffe, Permutations-Angriffe, regelbasierte Angriffe, Table-Lookup-Angriffe und Toggle-Case-Angriffe.
Download Hashcat hier.
DaveGrohl
DaveGrohl ist ein beliebtes Brute-Forcing-Tool für Mac OS X. Es unterstützt alle verfügbaren Versionen von Mac OS X. Dieses Tool unterstützt sowohl Wörterbuchangriffe als auch inkrementelle Angriffe . Es hat auch einen verteilten Modus, in dem Sie Angriffe von mehreren Computern ausführen können, um denselben Kennwort-Hash anzugreifen.
Dieses Tool ist jetzt Open Source und Sie können den Quellcode herunterladen.
Laden Sie DaveGrohl hier herunter.
Ncrack
Ncrack ist auch ein beliebtes Tool zum Knacken von Passwörtern zum Knacken von Netzwerkauthentifizierungen. Es unterstützt verschiedene Protokolle, einschließlich RDP, SSH, HTTP (S), SMB, POP3 (S), VNC, FTP und Telnet. Es kann verschiedene Angriffe ausführen, einschließlich Brute-Forcing-Angriffe. Es unterstützt verschiedene Plattformen, darunter Linux, BSD, Windows und Mac OS X.
Laden Sie Ncrack hier herunter.
THC Hydra
THC Hydra ist für seine Fähigkeit bekannt Knacken Sie Passwörter für Netzwerkauthentifizierungen, indem Sie Brute-Force-Angriffe ausführen. Es führt Wörterbuchangriffe gegen mehr als 30 Protokolle durch, darunter Telnet, FTP, HTTP, HTTPS, SMB und mehr. Es ist für verschiedene Plattformen verfügbar, einschließlich Linux, Windows / Cygwin, Solaris 11, FreeBSD 8.1, OpenBSD, OSX und QNX / Blackberry.
Laden Sie THC Hydra hier herunter.
Fazit
Dies sind einige beliebte Brute-Forcing-Tools zum Knacken von Passwörtern. Es stehen auch verschiedene andere Tools zur Verfügung, die bei verschiedenen Arten der Authentifizierung Brute Force anwenden. Wenn ich nur ein Beispiel für ein paar kleine Tools gebe, werden Sie sehen, dass die meisten PDF-Cracking- und ZIP-Cracking-Tools dieselben Brute-Force-Methoden verwenden, um Angriffe auszuführen und Passwörter zu knacken. Es gibt viele solcher Tools, die kostenlos oder kostenpflichtig verfügbar sind.
Brute-Forcing ist die beste Methode zum Knacken von Passwörtern. Der Erfolg des Angriffs hängt von verschiedenen Faktoren ab. Die Faktoren, die die meisten beeinflussen, sind jedoch die Kennwortlänge und die Kombination von Zeichen, Buchstaben und Sonderzeichen. Wenn wir über sichere Passwörter sprechen, empfehlen wir normalerweise, dass Benutzer lange Passwörter mit einer Kombination aus Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen haben.Es macht Brute-Forcing nicht unmöglich, aber es macht es schwierig. Daher dauert es länger, bis das Passwort durch Brute-Forcing erreicht ist.
Fast alle Hash-Cracking-Algorithmen verwenden die Brute Force, um zu schlagen und zu versuchen. Dieser Angriff ist am besten, wenn Sie offline auf Daten zugreifen können. In diesem Fall ist das Knacken einfach und nimmt weniger Zeit in Anspruch.
Das Knacken von Brute-Force-Passwörtern ist auch für die Computersicherheit sehr wichtig. Es wird verwendet, um die schwachen Kennwörter zu überprüfen, die im System, Netzwerk oder in der Anwendung verwendet werden.
Der beste Weg, um Brute-Force-Angriffe zu verhindern, besteht darin, ungültige Anmeldungen zu begrenzen. Auf diese Weise können Angriffe Passwörter nur für begrenzte Zeit treffen und versuchen. Aus diesem Grund werden bei webbasierten Diensten s angezeigt, wenn Sie dreimal die falschen Kennwörter eingegeben haben, oder sie blockieren Ihre IP-Adresse.