Útok hrubou silou je stále jednou z nejpopulárnějších metod prolomení hesla. Není to však jen prolomení hesla. Útoky hrubou silou lze také použít k odhalení skrytých stránek a obsahu ve webové aplikaci. Tento útok je v zásadě „hit and try“, dokud neuspějete. Tento útok někdy trvá déle, ale jeho úspěšnost je vyšší.
V tomto článku se pokusím vysvětlit útoky hrubou silou a používané populární nástroje v různých scénářích k provedení útoků hrubou silou k dosažení požadovaných výsledků.
Co je útok hrubou silou?
Útok hrubou silou, když útočník použije sada předdefinovaných hodnot zaútočit na cíl a analyzovat odpověď, dokud uspěje. Úspěch závisí na sadě předdefinovaných hodnot. Pokud je větší, bude to trvat déle, ale existuje větší pravděpodobnost úspěchu.
Nejběžnějším a nejsnadněji pochopitelným příkladem útoku hrubou silou je slovníkový útok na prolomení hesel. Útočník v tomto případě použije slovník hesel, který obsahuje miliony slov, která lze použít jako heslo. Útočník tato hesla vyzkouší jeden po druhém pro ověření. Pokud tento slovník obsahuje správné heslo, útočník bude wi Úspěch proběhne.
V tradičním útoku hrubou silou se útočník pokusí kombinací písmen a čísel vygenerovat heslo postupně. Pokud je heslo dostatečně dlouhé, bude tato tradiční technika trvat déle. Tyto útoky mohou trvat několik minut až několik hodin nebo několik let, v závislosti na použitém systému a délce hesla.
Abyste zabránili prolomení hesla útoky hrubou silou, měli byste vždy používat dlouhá a složitá hesla. To útočníkům ztěžuje uhodnout heslo a útoky hrubou silou zabere příliš mnoho času. Uzamčení účtu je dalším způsobem, jak zabránit útočníkovi v provádění útoků hrubou silou na webové aplikace. U offline softwaru však věci není tak snadné zabezpečit.
Podobně se útočník při hledání skrytých stránek pokusí uhodnout název stránky, odešle požadavky a uvidí odpověď. Pokud stránka neexistuje, zobrazí odpověď 404; při úspěchu bude odpověď 200. Tímto způsobem může najít skryté stránky na libovolném webu.
Hrubá síla se také používá k prolomení hodnoty hash a uhádnutí hesla z dané hodnoty hash. V tomto případě je hash generován z náhodných hesel a poté je tento hash spárován s cílovým hashem, dokud útočník nenajde správné. Čím vyšší je typ šifrování (64bitové, 128bitové nebo 256bitové šifrování) použitý k zašifrování hesla, tím déle trvá jeho prolomení.
Reverzní útok hrubou silou
Útok reverzní hrubou silou je další termín, který je spojen s prolomením hesla. Při prolomení hesla to vyžaduje opačný přístup. V tomto se útočník pokusí jedno heslo proti více uživatelským jménům. Představte si, že znáte heslo, ale nemáte ponětí o uživatelských jménech. V takovém případě můžete zkusit stejné heslo a uhodnout různá uživatelská jména, dokud nenajdete funkční kombinaci.
Nyní víte, že k prolomení hesla se používá útok hrubou silou. Můžete jej použít v jakémkoli softwaru, na libovolném webu nebo v jakémkoli protokolu, který po několika neplatných pokusech neblokuje požadavky. V tomto příspěvku přidám několik nástrojů pro prolomení hesel hrubou silou pro různé protokoly.
Populární nástroje pro útoky hrubou silou
Aircrack-ng
Jsem si jist, že o nástroji Aircrack-ng již víte. Jedná se o populární nástroj pro rozbití hesla wifi hrubou silou, který je k dispozici zdarma. Tento nástroj jsem také zmínil v našem starším příspěvku o nejpopulárnějších nástrojích prolomení hesla. Tento nástroj je dodáván s crackerem WEP / WPA / WPA2-PSK a analytickými nástroji k provádění útoků na Wi-Fi 802.11. Aircrack-ng lze použít pro jakýkoli síťový adaptér, který podporuje režim surového monitorování.
V zásadě provádí slovníkový útok proti bezdrátové síti, aby uhodl heslo. Jak již víte, úspěch útoku závisí na slovníku hesel. Čím lepší a efektivnější je slovník hesel, tím je pravděpodobnější, že heslo prolomí.
Je k dispozici pro platformy Windows a Linux. Bylo také portováno pro provoz na platformách iOS a Android. Můžete to vyzkoušet na daných platformách a uvidíte, jak lze tento nástroj použít k prolomení hesla wifi wifi hrubou silou.
Zde si stáhněte Aircrack-ng.
John the Ripper
John the Ripper je další skvělý nástroj, který není třeba nijak představovat. Je oblíbenou volbou pro provádění útoků hrubou silou po dlouhou dobu. Tento bezplatný software pro rozbíjení hesel byl původně vyvinut pro systémy Unix. Později jej vývojáři vydali pro různé jiné platformy. Nyní podporuje patnáct různých platforem včetně Unix, Windows, DOS, BeOS a OpenVMS.
Můžete jej použít k identifikaci slabých hesel nebo k rozbití hesel pro přerušení ověřování.
Tento nástroj je velmi populární a kombinuje různé funkce prolomení hesla. Může automaticky detekovat typ hashování použitého v hesle. Proto jej můžete spustit také proti šifrovanému úložišti hesel.
V zásadě může provádět útoky hrubou silou se všemi možnými hesly kombinací textu a čísel. Můžete jej však také použít se slovníkem hesel k provádění slovníkových útoků.
Zde si stáhněte Johna Rozparovače.
Rainbow Crack
Rainbow Crack je také oblíbený nástroj pro hrubou nátlak používaný k prolomení hesla. Generuje duhové tabulky pro použití při provádění útoku. Tímto způsobem se liší od ostatních konvenčních nástrojů pro hrubou sílu. Duhové stoly jsou předem vypočítány. Pomáhá zkracovat čas potřebný k provedení útoku.
Dobrá věc je, že existují různé organizace, které již zveřejnily duhové tabulky před počítačem pro všechny uživatele internetu. Chcete-li ušetřit čas, můžete si tyto duhové tabulky stáhnout a použít je při svých útocích.
Tento nástroj je stále v aktivním vývoji. Je k dispozici pro Windows i Linux a podporuje všechny nejnovější verze těchto platforem.
Stáhněte si Rainbow Crack a přečtěte si více o tomto nástroji zde.
L0phtCrack
L0phtCrack je známý pro svou schopnost lámat hesla Windows. Využívá slovníkové útoky, útoky hrubou silou, hybridní útoky a duhové tabulky. Nejpozoruhodnějšími vlastnostmi L0phtcrack jsou plánování, extrakce hash z 64bitových verzí Windows, multiprocesorové algoritmy a monitorování a dekódování sítě. Pokud chcete prolomit heslo systému Windows, můžete zkusit tento nástroj.
Stáhněte si L0phtCrack zde.
Ophcrack
Ophcrack je další brutální síla nástroj speciálně používaný k prolomení hesel Windows. Praskne hesla systému Windows pomocí hashů LM v duhových tabulkách. Je to bezplatný nástroj s otevřeným zdrojovým kódem.
Ve většině případů dokáže heslo Windows prolomit za několik minut. Ve výchozím nastavení je Ophcrack dodáván s duhovými tabulkami prolomení hesel o délce méně než 14 znaků, která obsahují pouze alfanumerické znaky. Ke stažení jsou k dispozici také další duhové tabulky.
Ophcrack je také k dispozici jako LiveCD.
Stáhněte si Ophcrack zde.
Hashcat
Hashcat tvrdí, že je nejrychlejším nástrojem na prolomení hesel založeným na CPU. Je zdarma a přichází pro platformy Linux, Windows a Mac OS. Hashcat podporuje různé hashovací algoritmy včetně LM Hashes, MD4, MD5, rodiny SHA, formátů Unix Crypt, MySQL a Cisco PIX. Podporuje různé útoky, včetně útoků hrubou silou, útoků kombinátorů, útoků slovníků, útoků otisků prstů, hybridních útoků, útoků masek, útoků permutací, útoků založených na pravidlech, útoků na vyhledávání tabulek a útoků přepínání případů. Zde je Hashcat.
DaveGrohl
DaveGrohl je oblíbený nástroj pro hrubou sílu pro Mac OS X. Podporuje všechny dostupné verze Mac OS X. Tento nástroj podporuje slovníkový i přírůstkový útok . Má také distribuovaný režim, který vám umožňuje provádět útoky z více počítačů a útočit na stejný hash hesla.
Tento nástroj je nyní open-source a můžete si stáhnout zdrojový kód.
Zde si stáhněte DaveGrohl.
Ncrack
Ncrack je také populární nástroj pro rozbití hesla pro prolomení síťových autentizací. Podporuje různé protokoly včetně RDP, SSH, HTTP (S), SMB, POP3 (S), VNC, FTP a Telnet. Může provádět různé útoky, včetně útoků hrubou silou. Podporuje různé platformy včetně Linux, BSD, Windows a Mac OS X.
Stáhněte si Ncrack zde.
THC Hydra
THC Hydra je známá svou schopností lámejte hesla síťových autentizací prováděním útoků hrubou silou. Provádí slovníkové útoky proti více než 30 protokolům včetně Telnetu, FTP, HTTP, HTTPS, SMB a dalších. Je k dispozici pro různé platformy včetně Linux, Windows / Cygwin, Solaris 11, FreeBSD 8.1, OpenBSD, OSX a QNX / Blackberry.
Zde si stáhněte THC Hydra.
Závěr
Toto je několik populárních nástrojů pro vylomení hesel. K dispozici jsou také různé další nástroje, které provádějí hrubou sílu na různé druhy ověřování. Pokud uvedu příklad několika malých nástrojů, uvidíte, že většina nástrojů pro rozbití PDF a ZIP používá k provádění útoků a rozbití hesel stejné metody hrubé síly. Existuje mnoho takových nástrojů zdarma nebo placených.
Brute-forcing je nejlepší metoda prolomení hesla. Úspěch útoku závisí na různých faktorech. Faktory, které však nejvíce ovlivňují, jsou délka hesla a kombinace znaků, písmen a speciálních znaků. To je důvod, proč když mluvíme o silných heslech, obvykle navrhujeme, aby uživatelé měli dlouhá hesla s kombinací malých písmen, velkých písmen, čísel a speciálních znaků.To neznemožňuje hrubou sílu, ale ztěžuje to. Brute-forcing proto bude trvat déle, než se dostanete k heslu.
Téměř všechny algoritmy pro hash-cracking používají hrubou sílu k zasažení a vyzkoušení. Tento útok je nejlepší, když máte offline přístup k datům. V takovém případě umožňuje snadné prolomení a zabere méně času.
Prolomení hesla hrubou silou je také velmi důležité v zabezpečení počítače. Slouží ke kontrole slabých hesel používaných v systému, síti nebo aplikaci.
Nejlepší způsob, jak zabránit útokům hrubou silou, je omezit neplatná přihlášení. Tímto způsobem mohou útoky zasáhnout a vyzkoušet hesla pouze po omezenou dobu. Z tohoto důvodu se webové služby začnou zobrazovat, pokud třikrát narazíte na nesprávná hesla, jinak zablokují vaši IP adresu.
