A durva erő támadása továbbra is az egyik legnépszerűbb jelszó-feltörési módszer. Ennek ellenére nem csak a jelszavak feltörésére szolgál. A durva erők támadásai rejtett oldalak és tartalmak felfedezésére is használhatók egy webalkalmazásban. Ez a támadás alapvetően “ütés és próbálkozás”, amíg nem sikerül. Ez a támadás néha hosszabb ideig tart, de a sikere magasabb.
Ebben a cikkben megpróbálom elmagyarázni a durva erő támadásait és a használt népszerű eszközöket különböző esetekben a nyers erőszakos támadások végrehajtásához a kívánt eredmények elérése érdekében.
Mi a durva erő támadása?
Nyers erővel történő támadás, amikor a támadó egy Előre definiált értékek halmaza a cél megtámadásához és a válasz elemzéséhez, amíg sikerül. A siker az előre definiált értékek halmazától függ. Ha nagyobb, akkor több időbe telik, de nagyobb a valószínűsége a sikernek.
A durva erő támadásának leggyakoribb és legkönnyebben érthető példája a szótári támadás a jelszavak feltörésére. Ebben a támadó egy olyan jelszószótárat használ, amely több millió szót tartalmaz jelszóként. A támadó megpróbálja ezeket a jelszavakat egyenként a hitelesítéshez. Ha ez a szótár a helyes jelszót tartalmazza, akkor a támadó wi Sikeres lesz.
Egy hagyományos durva erő támadásban a támadó csak betűk és számok kombinációjával próbálja létrehozni a jelszót egymás után. Ez a hagyományos technika azonban hosszabb időt vesz igénybe, ha a jelszó elég hosszú. Ezek a támadások a használt rendszertől és a jelszó hosszától függően több percet, több órát vagy több évet is igénybe vehetnek.
A jelszó feltörésének megakadályozása érdekében a durva erőszakos támadásokból mindig hosszú és összetett jelszavakat kell használni. Ez megnehezíti a támadók számára a jelszó kitalálását, és a durva erőszakos támadások túl sok időt vesznek igénybe. A fiókzár egy másik módja annak, hogy megakadályozzuk a támadót a webalkalmazásokkal szembeni erőszakos támadásokban. Az offline szoftverek esetében azonban a dolgokat nem olyan könnyű biztosítani.
Hasonlóképpen, a rejtett oldalak felfedezéséhez a támadó megpróbálja kitalálni az oldal nevét, kéréseket küld és látja a választ. Ha az oldal nem létezik, akkor 404-es választ mutat; egy siker esetén a válasz 200 lesz. Ily módon bármely weboldalon megtalálhatja a rejtett oldalakat.
A durva erőt a hash feltörésére és egy adott hash jelszavának kitalálására is használják. Ebben a kivonatot véletlenszerű jelszavakból állítják elő, majd ezt a kivonatot egy cél-kivonattal párosítják, amíg a támadó megtalálja a megfelelőt. Ezért minél magasabb a titkosítás típusa (64 bites, 128 bites vagy 256 bites titkosítás), amelyet a jelszó titkosításához használnak, annál hosszabb ideig tarthat a törés.
Fordított durva erő támadása
A fordított durva erő támadása egy másik kifejezés, amely a jelszó feltörésével jár. Fordított megközelítést alkalmaz a jelszó feltörésében. Ebben a támadó egy jelszóval próbálkozik több felhasználónévvel szemben. Képzelje el, ha tud egy jelszót, de fogalma sincs a felhasználónevekről. Ebben az esetben megpróbálhatja ugyanazt a jelszót kitalálni, és kitalálni a különböző felhasználóneveket, amíg meg nem találja a működő kombinációt.
Most már tudja, hogy a durva kényszerítéses támadást elsősorban jelszó feltörésére használják. Használhatja bármely szoftverben, bármely webhelyen vagy olyan protokollban, amely néhány érvénytelen próba után nem blokkolja a kéréseket. Ebben a bejegyzésben néhány nyers erővel rendelkező jelszó-feltörő eszközt adok hozzá a különböző protokollokhoz.
Népszerű eszközök a durva erő támadásaihoz
Aircrack-ng
Biztos vagyok benne, hogy már tud az Aircrack-ng eszközről. Ez egy népszerű brute force wifi jelszó feltörési eszköz, amely ingyenesen elérhető. Ezt az eszközt megemlítettem a legnépszerűbb jelszó-feltörő eszközökről szóló korábbi bejegyzésünkben is. Ez az eszköz WEP / WPA / WPA2-PSK crackerrel és elemző eszközökkel érkezik a Wi-Fi 802.11 elleni támadások végrehajtására. Az Aircrack-ng minden olyan hálózati kártyához használható, amely támogatja a nyers megfigyelési módot.
Alapvetően szótár támadásokat hajt végre egy vezeték nélküli hálózat ellen, hogy kitalálja a jelszót. Mint már tudja, a támadás sikere a jelszavak szótárától függ. Minél jobb és hatékonyabb a jelszószótár, annál valószínűbb, hogy feltöri a jelszót.
Windows és Linux platformokra érhető el. Azt is hordozták, hogy fusson iOS és Android platformokon. Megpróbálhatod adott platformokon, hogy megtudd, hogyan lehet ezt az eszközt használni a wifi jelszóval történő brute force-hoz.
Töltsd le az Aircrack-ng oldalt.
Ripper János
A Hasogató János egy másik fantasztikus eszköz, amely nem igényel bevezetést. Hosszú ideje kedvelt választás a brutális erőszakos támadások végrehajtásához. Ezt az ingyenes jelszó-feltörő szoftvert eredetileg a Unix rendszerek számára fejlesztették ki. Később a fejlesztők kiadták különféle más platformokra. Tizenöt különböző platformot támogat, köztük a Unix, a Windows, a DOS, a BeOS és az OpenVMS.
Ezt használhatja gyenge jelszavak azonosítására vagy jelszavak feltörésére a hitelesítés megsértése érdekében.
Ez az eszköz nagyon népszerű, és ötvözi a különféle jelszó feltörési funkciókat. Automatikusan felismeri a jelszóban használt hash típusát. Ezért futtathatja titkosított jelszó tárolással is.
Alapvetően durva erőszakos támadásokat hajthat végre az összes lehetséges jelszóval a szöveg és a számok kombinálásával. Ugyanakkor a jelszavak szótárával is használhatja szótári támadások végrehajtására.
Töltse le a Ripper Jánost.
Rainbow Crack
A Rainbow Crack is népszerű, durva kényszerítő eszköz, amelyet jelszavak feltörésére használnak. Szivárványos táblákat állít elő a támadás végrehajtása során. Ilyen módon különbözik más hagyományos durva kényszerítő eszközöktől. A Rainbow asztalok előre kiszámoltak. Segít csökkenteni a támadás végrehajtásának idejét.
Az a jó, hogy vannak olyan szervezetek, amelyek már közzétették a számítógép előtti szivárványos táblákat az összes internetfelhasználó számára. Időmegtakarítás érdekében letöltheti ezeket a szivárványos táblázatokat, és felhasználhatja azokat a támadásai során.
Ez az eszköz még mindig aktív fejlesztés alatt áll. Windows és Linux rendszereken egyaránt elérhető, és támogatja ezeknek a platformoknak az összes legújabb verzióját.
Töltse le a Rainbow Crack alkalmazást, és itt olvashat erről az eszközről.
L0phtCrack
Az L0phtCrack arról ismert, hogy képes feltörni a Windows jelszavakat. Szótár támadásokat, durva erő támadásokat, hibrid támadásokat és szivárványos asztalokat használ. Az L0phtcrack legfigyelemreméltóbb jellemzői az ütemezés, a hash kivonása a 64 bites Windows verziókból, a többprocesszoros algoritmusok, valamint a hálózat figyelése és dekódolása. Ha feltörni szeretné egy Windows rendszer jelszavát, akkor kipróbálhatja ezt az eszközt.
Töltse le az L0phtCrack alkalmazást.
Ophcrack
Az Ophcrack egy másik durva kényszerítés kifejezetten a Windows jelszavak feltörésére használt eszköz. Az LM hasheket használva szivárványos táblázatokon keresztül feltöri a Windows jelszavait. Ez egy ingyenes és nyílt forráskódú eszköz.
A legtöbb esetben néhány perc alatt feltörheti a Windows jelszavát. Alapértelmezés szerint az Ophcrack szivárványos táblákkal érkezik, amelyek feltüntetik a 14 karakternél rövidebb jelszavakat, amelyek csak alfanumerikus karaktereket tartalmaznak. Más szivárványos táblázatok is letölthetők.
Az Ophcrack elérhető LiveCD-ként is.
Töltse le az Ophcrack alkalmazást itt.
Hashcat
Hashcat azt állítja, hogy ő a leggyorsabb CPU-alapú jelszófeltörő eszköz. Ingyenes, Linux, Windows és Mac OS platformokra érkezik. A Hashcat különféle hash algoritmusokat támogat, beleértve az LM Hashes, MD4, MD5, SHA-család, Unix Crypt formátumokat, MySQL és Cisco PIX. Támogatja a különféle támadásokat, beleértve a nyers erőszakos támadásokat, a kombinátoros támadásokat, a szótári támadásokat, az ujjlenyomat-támadásokat, a hibrid támadásokat, az álarcos támadásokat, a permutációs támadásokat, a szabályalapú támadásokat, a táblázatkeresési támadásokat és a váltó- és nagybetűs támadásokat. Itt található a Hashcat.
DaveGrohl
A DaveGrohl egy népszerű brute-kényszerítő eszköz a Mac OS X számára. Támogatja a Mac OS X összes elérhető verzióját. Ez az eszköz támogatja mind a szótár, mind az inkrementális támadásokat . Van egy elosztott üzemmódja is, amely lehetővé teszi, hogy több számítógépről támadásokat hajtson végre ugyanazon jelszó-kivonat ellen.
Ez az eszköz már nyílt forráskódú, és letöltheti a forráskódot.
Töltse le a DaveGrohlt itt.
Ncrack
Az Ncrack szintén népszerű jelszó-feltörő eszköz a hálózati hitelesítések feltörésére. Támogatja a különböző protokollokat, beleértve az RDP, SSH, HTTP (S), SMB, POP3 (S), VNC, FTP és Telnet. Különböző támadásokat képes végrehajtani, beleértve a durva kényszerítést is. Különféle platformokat támogat, beleértve a Linuxot, a BSD-t, a Windows-ot és a Mac OS X-et.
Töltse le az Ncrack oldalt.
THC Hydra
A THC Hydra ismert arról, hogy képes feltörni a hálózati hitelesítés jelszavait durva erőszakos támadásokkal. Szótár támadásokat hajt végre több mint 30 protokoll, köztük Telnet, FTP, HTTP, HTTPS, SMB és egyebek ellen. Különböző platformokon érhető el, beleértve a Linuxot, a Windows / Cygwin, a Solaris 11, a FreeBSD 8.1, az OpenBSD, az OSX és a QNX / Blackberry.
Töltse le a THC Hydra oldalt.
Következtetés
Ez néhány népszerű, durva kényszerítő eszköz a jelszó feltörésére. Számos egyéb eszköz is rendelkezésre áll, amelyek durva erőt gyakorolnak a különböző típusú hitelesítésekre. Ha csak néhány apró eszközt hozok, akkor láthatja, hogy a PDF-feltörő és a ZIP-feltörő eszközök többsége ugyanazokat a durva erő módszereket használja támadások végrehajtására és jelszavak feltörésére. Számos ilyen eszköz érhető el ingyenesen vagy fizetősen.
A durva kényszerítés a legjobb jelszó feltörési módszer. A támadás sikere különféle tényezőktől függ. A legtöbbet befolyásoló tényezők azonban a jelszó hossza, valamint a karakterek, betűk és speciális karakterek kombinációja. Éppen ezért, amikor erős jelszavakról beszélünk, általában azt javasoljuk, hogy a felhasználók hosszú jelszavakkal rendelkezzenek kisbetűk, nagybetűk, számok és speciális karakterek kombinációjával.Nem teszi lehetetlenné a durva kényszerítést, de megnehezíti. Ezért hosszabb ideig tart elérni a jelszót nyers kényszerítéssel.
Szinte az összes hash-cracking algoritmus durva erővel használja a találatot és a próbálkozást. Ez a támadás a legjobb, ha offline hozzáféréssel rendelkezik az adatokhoz. Ebben az esetben megkönnyíti a feltörést és kevesebb időt vesz igénybe.
A jelszavakkal történő durva erőszakos feltörés a számítógép biztonságában is nagyon fontos. A rendszerben, a hálózatban vagy az alkalmazásban használt gyenge jelszavak ellenőrzésére szolgál.
A durva erőszakos támadások megelőzésének legjobb módja az érvénytelen bejelentkezések korlátozása. Ily módon a támadások csak korlátozott ideig tudják elérni és kipróbálni a jelszavakat. Ezért a webalapú szolgáltatások akkor kezdenek megjelenni, ha háromszor rossz jelszót ad meg, vagy blokkolják az IP-címét.