ブルートフォース攻撃は、依然として最も人気のあるパスワードクラッキング方法の1つです。それにもかかわらず、それはパスワードクラッキングのためだけではありません。ブルートフォース攻撃は、Webアプリケーションの非表示のページやコンテンツを発見するためにも使用できます。この攻撃は基本的に成功するまで「ヒットアンドトライ」です。この攻撃には時間がかかることもありますが、成功率は高くなります。
この記事では、ブルートフォース攻撃と使用される一般的なツールについて説明します。さまざまなシナリオでブルートフォース攻撃を実行して目的の結果を得る。
ブルートフォース攻撃とは何ですか?
攻撃者がブルートフォース攻撃を使用した場合のブルートフォース攻撃ターゲットを攻撃し、成功するまで応答を分析するための事前定義された値のセット。成功は事前定義された値のセットに依存します。それよりも大きい場合、時間がかかりますが、成功する可能性が高くなります。
ブルートフォース攻撃の最も一般的で理解しやすい例は、パスワードを解読する辞書攻撃です。この場合、攻撃者は、パスワードとして使用できる数百万の単語を含むパスワード辞書を使用します。攻撃者はこれらのパスワードを試します。認証用に1つずつ。この辞書に正しいパスワードが含まれている場合、攻撃者はwi成功します。
従来のブルートフォース攻撃では、攻撃者は文字と数字の組み合わせを試行して、パスワードを順番に生成します。ただし、この従来の手法では、パスワードが十分に長い場合は時間がかかります。これらの攻撃は、使用するシステムとパスワードの長さに応じて、数分から数時間または数年かかる場合があります。
ブルートフォース攻撃によるパスワードクラッキングを防ぐために、常に長くて複雑なパスワードを使用する必要があります。これにより、攻撃者がパスワードを推測するのが難しくなり、ブルートフォース攻撃に時間がかかりすぎます。アカウントのロックアウトは、攻撃者がWebアプリケーションに対してブルートフォース攻撃を実行するのを防ぐもう1つの方法です。ただし、オフラインソフトウェアの場合、セキュリティを確保するのは簡単ではありません。
同様に、非表示のページを発見する場合、攻撃者はページの名前を推測し、リクエストを送信して、応答を確認します。ページが存在しない場合は、404応答が表示されます。成功すると、応答は200になります。このようにして、任意のWebサイトで非表示のページを見つけることができます。
ブルートフォースは、ハッシュを解読し、特定のハッシュからパスワードを推測するためにも使用されます。この場合、ハッシュはランダムなパスワードから生成され、攻撃者が正しいものを見つけるまで、このハッシュはターゲットハッシュと照合されます。したがって、パスワードの暗号化に使用される暗号化の種類(64ビット、128ビット、または256ビット暗号化)が高いほど、解読に時間がかかる可能性があります。
逆ブルートフォース攻撃
逆ブルートフォース攻撃は、パスワードクラッキングに関連する別の用語です。パスワードクラッキングでは逆のアプローチを取ります。この場合、攻撃者は複数のユーザー名に対して1つのパスワードを試行します。パスワードは知っているが、ユーザー名がわからない場合を想像してみてください。この場合、有効な組み合わせが見つかるまで、同じパスワードを試し、異なるユーザー名を推測できます。
これで、ブルートフォース攻撃は主にパスワードクラッキングに使用されることがわかりました。いくつかの無効な試行の後で要求をブロックしない任意のソフトウェア、任意のWebサイト、または任意のプロトコルで使用できます。この投稿では、さまざまなプロトコル用のブルートフォースパスワードクラッキングツールをいくつか追加します。
ブルートフォース攻撃用の人気のあるツール
Aircrack-ng
Aircrack-ngツールについてはすでにご存知だと思います。これは、無料で利用できる人気のブルートフォースwifiパスワードクラッキングツールです。また、最も人気のあるパスワードクラッキングツールに関する以前の投稿でこのツールについて言及しました。このツールには、Wi-Fi802.11に対して攻撃を実行するためのWEP / WPA / WPA2-PSKクラッカーと分析ツールが付属しています。 Aircrack-ngは、rawモニタリングモードをサポートするすべてのNICに使用できます。
基本的に、ワイヤレスネットワークに対して辞書攻撃を実行してパスワードを推測します。ご存知のように、攻撃の成功はパスワードの辞書に依存します。パスワード辞書が優れていて効果的であるほど、パスワードが解読される可能性が高くなります。
WindowsおよびLinuxプラットフォームで使用できます。また、iOSおよびAndroidプラットフォームで実行するように移植されています。特定のプラットフォームで試して、このツールをブルートフォースWi-Fiパスワードクラッキングに使用する方法を確認できます。
ここからAircrack-ngをダウンロードしてください。
John the Ripper
John the Ripperは、紹介を必要としないもう1つのすばらしいツールです。これは、ブルートフォース攻撃を実行するためのお気に入りの選択肢として長い間使用されてきました。この無料のパスワードクラッキングソフトウェアは、当初Unixシステム用に開発されました。その後、開発者は他のさまざまなプラットフォーム向けにリリースしました。現在、Unix、Windows、DOS、BeOS、OpenVMSを含む15の異なるプラットフォームをサポートしています。
これを使用して、脆弱なパスワードを識別したり、認証を破るためにパスワードを解読したりできます。
このツールは非常に人気があり、さまざまなパスワード解読機能を組み合わせています。パスワードで使用されているハッシュの種類を自動的に検出できます。したがって、暗号化されたパスワードストレージに対して実行することもできます。
基本的に、テキストと数字を組み合わせることで、考えられるすべてのパスワードを使用してブルートフォース攻撃を実行できます。ただし、パスワードの辞書と一緒に使用して辞書攻撃を実行することもできます。
ここからJohntheRipperをダウンロードしてください。
レインボークラック
レインボークラックもパスワードクラッキングに使用される人気のあるブルートフォーシングツール。攻撃の実行中に使用するレインボーテーブルを生成します。このように、他の従来のブルートフォーシングツールとは異なります。レインボーテーブルは事前に計算されています。攻撃を実行する時間を短縮するのに役立ちます。
良い点は、すべてのインターネットユーザー向けにコンピューター前のレインボーテーブルをすでに公開しているさまざまな組織があることです。時間を節約するために、これらのレインボーテーブルをダウンロードして、攻撃に使用できます。
このツールはまだ活発に開発されています。 WindowsとLinuxの両方で利用でき、これらのプラットフォームのすべての最新バージョンをサポートします。
Rainbow Crackをダウンロードし、このツールの詳細をここで読んでください。
L0phtCrack
L0phtCrackは、Windowsパスワードを解読する機能で知られています。辞書攻撃、ブルートフォース攻撃、ハイブリッド攻撃、レインボーテーブルを使用します。 L0phtcrackの最も注目すべき機能は、スケジューリング、64ビットWindowsバージョンからのハッシュ抽出、マルチプロセッサアルゴリズム、ネットワークの監視とデコードです。 Windowsシステムのパスワードを解読したい場合は、このツールを試すことができます。
ここからL0phtCrackをダウンロードしてください。
Ophcrack
Ophcrackは別のブルートフォーシングです。 Windowsパスワードを解読するために特別に使用されるツール。レインボーテーブルを介してLMハッシュを使用することにより、Windowsパスワードを解読します。これは無料のオープンソースツールです。
ほとんどの場合、数分でWindowsパスワードを解読できます。デフォルトでは、Ophcrackには、英数字のみを含む14文字未満のパスワードを解読するためのレインボーテーブルが付属しています。他のレインボーテーブルもダウンロードできます。
OphcrackはLiveCDとしても入手できます。
ここからOphcrackをダウンロードしてください。
Hashcat
Hashcat最速のCPUベースのパスワードクラッキングツールであると主張しています。これは無料で、Linux、Windows、MacOSプラットフォームに対応しています。 Hashcatは、LMハッシュ、MD4、MD5、SHAファミリ、Unix Crypt形式、MySQL、CiscoPIXなどのさまざまなハッシュアルゴリズムをサポートしています。ブルートフォース攻撃、コンビネーター攻撃、辞書攻撃、指紋攻撃、ハイブリッド攻撃、マスク攻撃、順列攻撃、ルールベースの攻撃、テーブルルックアップ攻撃、トグルケース攻撃など、さまざまな攻撃をサポートしています。
ダウンロードHashcatはこちら。
DaveGrohl
DaveGrohlは、Mac OSXで人気のブルートフォースツールです。利用可能なすべてのバージョンのMacOS Xをサポートしています。このツールは、辞書攻撃とインクリメンタル攻撃の両方をサポートしています。 。また、複数のコンピューターから攻撃を実行して同じパスワードハッシュを攻撃できる分散モードもあります。
このツールはオープンソースになり、ソースコードをダウンロードできます。
DaveGrohlをここからダウンロードしてください。
Ncrack
Ncrackはまた、ネットワーク認証を解読するための人気のあるパスワード解読ツールです。 RDP、SSH、HTTP(S)、SMB、POP3(S)、VNC、FTP、Telnetなどのさまざまなプロトコルをサポートしています。ブルートフォーシング攻撃を含むさまざまな攻撃を実行できます。 Linux、BSD、Windows、Mac OSXなどのさまざまなプラットフォームをサポートしています。
Ncrackをここからダウンロードしてください。
THC Hydra
THC Hydraは、次の機能で知られています。ブルートフォース攻撃を実行して、ネットワーク認証のパスワードを解読します。 Telnet、FTP、HTTP、HTTPS、SMBなどを含む30を超えるプロトコルに対して辞書攻撃を実行します。 Linux、Windows / Cygwin、Solaris 11、FreeBSD 8.1、OpenBSD、OSX、QNX / Blackberryなどのさまざまなプラットフォームで利用できます。
THCHydraをここからダウンロードしてください。
結論
これらは、パスワードクラッキングのためのいくつかの人気のあるブルートフォースツールです。さまざまな種類の認証に対してブルートフォースを実行する他のさまざまなツールも利用できます。いくつかの小さなツールの例を挙げれば、PDFクラッキングツールとZIPクラッキングツールのほとんどが同じブルートフォース方式を使用して攻撃を実行し、パスワードをクラッキングしていることがわかります。無料または有料で利用できるそのようなツールはたくさんあります。
ブルートフォーシングはパスワードを解読するための最良の方法です。攻撃の成功はさまざまな要因に依存します。ただし、ほとんどに影響する要因は、パスワードの長さと文字、文字、および特殊文字の組み合わせです。そのため、強力なパスワードについて話すときは、通常、小文字、大文字、数字、特殊文字を組み合わせた長いパスワードを使用することをお勧めします。それはブルートフォースを不可能にするわけではありませんが、それを困難にします。 そのため、ブルートフォース攻撃でパスワードに到達するまでに時間がかかります。
ほとんどすべてのハッシュクラッキングアルゴリズムは、力ずくで攻撃して試行します。 この攻撃は、データにオフラインでアクセスできる場合に最適です。 その場合、解読が容易になり、時間も短縮されます。
ブルートフォースパスワード解読は、コンピュータのセキュリティにおいても非常に重要です。 システム、ネットワーク、またはアプリケーションで使用されている脆弱なパスワードを確認するために使用されます。
ブルートフォース攻撃を防ぐ最善の方法は、無効なログインを制限することです。 このように、攻撃は限られた時間だけパスワードを攻撃して試すことができます。 これが、間違ったパスワードを3回押すと、Webベースのサービスがsを表示し始める理由です。そうしないと、IPアドレスがブロックされます。
