Brute force-attacken är fortfarande en av de mest populära metoderna för lösenordsskydd. Ändå är det inte bara för lösenordssprickning. Brute force-attacker kan också användas för att upptäcka dolda sidor och innehåll i en webbapplikation. Denna attack är i grund och botten ”en hit and try” tills du lyckas. Denna attack tar ibland längre tid, men dess framgångsgrad är högre.
I den här artikeln kommer jag att försöka förklara brute force-attacker och populära verktyg som används i olika scenarier för att utföra brute force-attacker för att få önskat resultat.
Vad är en brute force-attack?
En brute force-attack när en angripare använder en uppsättning fördefinierade värden för att attackera ett mål och analysera svaret tills han lyckas. Framgång beror på uppsättningen fördefinierade värden. Om det är större tar det mer tid, men det finns en bättre sannolikhet för framgång.
Det vanligaste och lättast att förstå exemplet på brute force attack är ordbokens attack för att knäcka lösenord. I detta använder angriparen en lösenordsordbok som innehåller miljontals ord som kan användas som lösenord. Angriparen försöker dessa lösenord en för en för autentisering. Om den här ordboken innehåller rätt lösenord, kommer angriparen Jag kommer att lyckas.
I en traditionell brute force-attack försöker angriparen bara kombinationen av bokstäver och siffror för att generera ett lösenord i följd. Denna traditionella teknik tar dock längre tid när lösenordet är tillräckligt långt. Dessa attacker kan ta flera minuter till flera timmar eller flera år, beroende på vilket system som används och lösenordets längd.
För att förhindra lösenordssprickning från brute force-attacker bör man alltid använda långa och komplexa lösenord. Detta gör det svårt för angripare att gissa lösenordet, och brute force-attacker tar för mycket tid. Kontoutlåsning är ett annat sätt att förhindra att angriparen utför brute force-attacker på webbapplikationer. För offline-programvara är det dock inte så lätt att säkra.
På samma sätt försöker angriparen att gissa namnet på sidan, skicka förfrågningar och se svaret för att upptäcka dolda sidor. Om sidan inte finns kommer den att visa ett 404-svar. efter en framgång kommer svaret att vara 200. På detta sätt kan den hitta dolda sidor på vilken webbplats som helst.
Brute force används också för att knäcka hash och gissa ett lösenord från en given hash. I detta genereras hashen från slumpmässiga lösenord och sedan matchas denna hash med en mål-hash tills angriparen hittar rätt. Ju högre typen av kryptering (64-bitars, 128-bitars eller 256-bitars kryptering) som används för att kryptera lösenordet, desto längre tid kan det ta att bryta.
Omvänd brute force attack
En omvänd brute force attack är en annan term som är associerad med lösenordssprickning. Det tar en omvänd inställning vid lösenordssprickning. I detta försöker angriparen ett lösenord mot flera användarnamn. Tänk dig om du känner till ett lösenord men inte har någon aning om användarnamnen. I det här fallet kan du prova samma lösenord och gissa de olika användarnamnen tills du hittar arbetskombinationen.
Nu vet du att en brute-forcing attack huvudsakligen används för lösenordssprickning. Du kan använda den i vilken programvara som helst, på vilken webbplats som helst eller i något protokoll som inte blockerar förfrågningar efter några ogiltiga försök. I det här inlägget ska jag lägga till några lösenordssprickande verktyg för brute force för olika protokoll.
Populära verktyg för brute force-attacker
Aircrack-ng
Jag är säker på att du redan känner till Aircrack-ng-verktyget. Detta är ett populärt verktyg för brute force wifi-lösenordssprickning som är tillgängligt gratis. Jag nämnde också det här verktyget i vårt äldre inlägg om de mest populära lösenords-krackningsverktygen. Detta verktyg levereras med WEP / WPA / WPA2-PSK-kracknings- och analysverktyg för att utföra attacker på Wi-Fi 802.11. Aircrack-ng kan användas för alla nätverkskort som stöder raw-övervakningsläge.
Det utför i grunden ordboksattacker mot ett trådlöst nätverk för att gissa lösenordet. Som du redan vet beror attackens framgång på ordboken för lösenord. Ju bättre och mer effektivt lösenordsordlistan är, desto mer sannolikt är det att den kommer att knäcka lösenordet.
Det är tillgängligt för Windows- och Linux-plattformar. Det har också portats för att köras på iOS- och Android-plattformar. Du kan prova det på givna plattformar för att se hur det här verktyget kan användas för brute force wifi-lösenordssprickning.
Ladda ner Aircrack-ng här.
John the Ripper
John the Ripper är ett annat fantastiskt verktyg som inte behöver någon introduktion. Det har varit ett favoritval för att utföra brute force-attacker under lång tid. Denna kostnadsfria programvara för lösenordssprickning utvecklades ursprungligen för Unix-system. Senare släppte utvecklare det för olika andra plattformar. Nu stöder den femton olika plattformar inklusive Unix, Windows, DOS, BeOS och OpenVMS.
Du kan använda detta antingen för att identifiera svaga lösenord eller för att knäcka lösenord för att bryta autentisering.
Detta verktyg är mycket populärt och kombinerar olika lösenordssprickningsfunktioner. Den kan automatiskt upptäcka vilken typ av hashing som används i ett lösenord. Därför kan du också köra det mot krypterat lösenord.
I grund och botten kan det utföra brute force-attacker med alla möjliga lösenord genom att kombinera text och siffror. Du kan dock också använda den med en ordlista med lösenord för att utföra ordlistaattacker.
Ladda ner John the Ripper här.
Rainbow Crack
Rainbow Crack är också ett populärt brute-forcing-verktyg som används för lösenordssprickning. Det genererar regnbågsbord för användning under attacken. På det här sättet skiljer det sig från andra konventionella hävstångsverktyg. Rainbow tabeller är förberäknade. Det hjälper till att minska tiden för att utföra attacken.
Det fina är att det finns olika organisationer som redan har publicerat regnbågstabellerna före datorn för alla internetanvändare. För att spara tid kan du ladda ner regnbågsborden och använda dem i dina attacker.
Det här verktyget är fortfarande i aktiv utveckling. Den är tillgänglig för både Windows och Linux och stöder alla senaste versioner av dessa plattformar.
Ladda ner Rainbow Crack och läs mer om det här verktyget här.
L0phtCrack
L0phtCrack är känt för sin förmåga att knäcka Windows-lösenord. Den använder ordlistaattacker, brute force-attacker, hybridattacker och regnbågsbord. De mest anmärkningsvärda funktionerna i L0phtcrack är schemaläggning, hash-utvinning från 64-bitars Windows-versioner, multiprocessoralgoritmer och nätverksövervakning och avkodning. Om du vill knäcka lösenordet för ett Windows-system kan du prova det här verktyget.
Ladda ner L0phtCrack här.
Ophcrack
Ophcrack är en annan brute-forcing verktyg som speciellt används för att knäcka Windows-lösenord. Det sprickar Windows-lösenord genom att använda LM-hash genom regnbågsbord. Det är ett gratis verktyg med öppen källkod.
I de flesta fall kan det knäcka ett Windows-lösenord på några minuter. Som standard kommer Ophcrack med regnbågstabeller för att knäcka lösenord på mindre än 14 tecken som endast innehåller alfanumeriska tecken. Andra regnbågsbord finns också att ladda ner.
Ophcrack finns också som LiveCD.
Ladda ner Ophcrack här.
Hashcat
Hashcat påstår sig vara det snabbaste CPU-baserade lösenordssprångverktyget. Det är gratis och kommer för Linux-, Windows- och Mac OS-plattformar. Hashcat stöder olika hashingalgoritmer inklusive LM Hashes, MD4, MD5, SHA-family, Unix Crypt-format, MySQL och Cisco PIX. Den stöder olika attacker inklusive brute force attacker, combinator attacker, ordbok attacker, fingeravtryck attacker, hybrid attacker, mask attacker, permutation attack, regelbaserade attacker, tabell-lookup attacker och växla fall attacker.
Ladda ner Hashcat här.
DaveGrohl
DaveGrohl är ett populärt brute-forcing-verktyg för Mac OS X. Det stöder alla tillgängliga versioner av Mac OS X. Detta verktyg stöder både ordboksattacker och inkrementella attacker . Det har också ett distribuerat läge som låter dig utföra attacker från flera datorer för att attackera på samma lösenordshash.
Det här verktyget är nu öppen källkod och du kan ladda ner källkoden.
Ladda ner DaveGrohl här.
Ncrack
Ncrack är också ett populärt lösenordssprickningsverktyg för att spricka nätverksautentisering. Den stöder olika protokoll inklusive RDP, SSH, HTTP (S), SMB, POP3 (S), VNC, FTP och Telnet. Det kan utföra olika attacker inklusive brute-forcing attacker. Den stöder olika plattformar inklusive Linux, BSD, Windows och Mac OS X.
Ladda ner Ncrack här.
THC Hydra
THC Hydra är känt för sin förmåga att knäcka lösenord för nätverksautentisering genom att utföra brute force-attacker. Det utför ordlistaattacker mot mer än 30 protokoll inklusive Telnet, FTP, HTTP, HTTPS, SMB och mer. Den finns tillgänglig för olika plattformar inklusive Linux, Windows / Cygwin, Solaris 11, FreeBSD 8.1, OpenBSD, OSX och QNX / Blackberry.
Ladda ner THC Hydra här.
Slutsats
Dessa är några populära brute-forcing-verktyg för lösenordssprickning. Det finns olika andra verktyg som också finns tillgängliga som utför brute force på olika typer av autentisering. Om jag bara ger ett exempel på några små verktyg ser du att de flesta PDF-kracknings- och ZIP-krackningsverktygen använder samma brute force-metoder för att utföra attacker och knäcka lösenord. Det finns många sådana verktyg tillgängliga gratis eller betalas.
Brute-forcing är den bästa lösenordssprickningsmetoden. Framgången för attacken beror på olika faktorer. Faktorer som påverkar mest är dock lösenordslängd och kombination av tecken, bokstäver och specialtecken. Det är därför som när vi pratar om starka lösenord föreslår vi vanligtvis att användare har långa lösenord med en kombination av gemener, versaler, siffror och specialtecken.Det gör inte brute-forcing omöjligt men det gör det svårt. Därför tar det längre tid att nå lösenordet genom att tvinga brute.
Nästan alla hash-cracking-algoritmer använder brute force för att slå och försöka. Denna attack är bäst när du har offlineåtkomst till data. I så fall gör det det enkelt att knäcka och tar kortare tid.
Brute force-lösenordssprickning är också mycket viktigt för datasäkerhet. Den används för att kontrollera de svaga lösenorden som används i systemet, nätverket eller applikationen.
Det bästa sättet att förhindra brute force attacker är att begränsa ogiltiga inloggningar. På detta sätt kan attacker bara träffa och prova lösenord endast under begränsade tider. Det är därför webbaserade tjänster börjar visa s om du träffar fel lösenord tre gånger eller de blockerar din IP-adress.
