• 主頁
  • 文章
  • SEO
  • 什麼是蠻力登錄攻擊(以及如何防止它們)?

什麼是蠻力登錄攻擊(以及如何防止它們)?

已發表: 2022-07-12

網絡攻擊變得更加複雜,黑客找到了越來越聰明的方法來竊取數據並訪問網站和數據庫。 黑客訪問網站的主要方式之一是使用暴力登錄或暴力攻擊。

蠻力攻擊是指攻擊者提交多個密碼,以期猜測正確的密碼組合以獲得對您系統的未經授權的訪問。 黑客使用的軟件通常可以在幾秒鐘內保護對網站、電子郵件帳戶或其他數據庫的訪問。

之所以稱為蠻力,是因為這些嘗試會持續不斷地進行,直到用戶名和密碼得到保護。 蠻力攻擊是破解您的加密密鑰和訪問您想要保密的文件的簡單但高效的方法。

蠻力攻擊是如何工作的?

在基本層面上,暴力登錄就像猜測可能的密碼一樣簡單。 但關鍵是嘗試多種變體,直到找到答案。

可能的密碼越長,您必須嘗試的變化就越多。 2 位密碼有 100 種可能性,而 5 位密碼有 100 億種可能性。 此外,請考慮大多數密碼不僅僅是數字的事實。 它們包含字母、大寫字母和特殊字符。 這就是為什麼弱密碼比複雜密碼更容易猜到的原因。

如果您想知道為什麼網站堅持要求您使用複雜的密碼,那麼這張圖片可能有助於解釋。

如您所見,可以在不到一秒的時間內使用暴力攻擊破解簡單的密碼。 但它們越複雜,妥協的時間就越長。

因此,避免對您的網站進行暴力攻擊的主要方法之一是要求所有用戶擁有長而復雜的密碼。 事實上,密碼安全現在被視為抵禦多種形式網絡攻擊的第一道防線。

另一個問題是,由於需要大量的計算能力,使用蠻力機器人可以提高計算速度並使訪問系統變得更加容易。

為什麼不標記蠻力嘗試?

黑客在嘗試暴力登錄期間有多種方法可以避免檢測。

1.他們使用多個IP

如果由於輸入錯誤密碼而導致登錄嘗試失敗次數過多,大多數係統會要求您稍等片刻再試一次或將您完全鎖定。 那麼為什麼這些黑客沒有遭受同樣的命運呢?

暴力登錄嘗試以狡猾和系統的方式執行,涉及多台計算機和 IP 地址。

使用的一種策略稱為分佈式攻擊,其中每個 IP 僅嘗試猜測您的密碼有限次數,然後完全停止。 然後另一個 IP 取而代之。

現在,將其大規模增加,數十個甚至數百個機器人試圖一次全部登錄,但從未嘗試足夠的時間來觸發安全機制。

2. 他們不只是猜測

在暴力攻擊期間,黑客根據一些可用信息採取行動。 例如,大多數人在許多平台上使用相同的密碼,因此來自另一個平台的數據洩露是一個很好的起點。 這被稱為反向蠻力攻擊,因為黑客會嘗試多個用戶名,直到找到一個適合密碼的用戶名。

還有其他戰術。 例如,黑客可能會使用字典攻擊,其中黑客使用標准單詞(例如“password”、“admin”、“iloveyou”或“1234567890”)運行密碼。

字典攻擊是破解簡單密碼的一種常用方法,這種方法非常成功並且經常使用。 黑客還可以使用混合暴力攻擊,將字典攻擊與基本暴力攻擊相結合。

蠻力攻擊的著名例子

阿里巴巴 (2015)

一個著名的暴力攻擊例子是阿里巴巴的淘寶網站。 2015 年 10 月至 11 月期間,這家電子商務巨頭遭受了一次暴力攻擊,而安全團隊並未發現該攻擊。 在這種情況下,由於淘寶一直保持高流量,因此未標記過多的登錄嘗試。

報告稱,由於黑客重複使用了從其他站點竊取的帳戶憑據,因此重複使用的密碼是造成一些被盜帳戶的原因。 黑客有超過 9900 萬個帳戶憑據可供使用,他們成功入侵了超過 2000 萬個用戶帳戶配置文件。

任天堂俱樂部 (2013)

任天堂俱樂部是一個社區會員網站,用戶可以在這裡討論任天堂的所有事情。 2013 年,該網站遭受暴力攻擊,經過 1500 萬次嘗試,黑客終於破解了用戶帳戶。

值得慶幸的是,所有被盜的帳戶都被迅速暫停,直到它們可以歸還給合法所有者。 報告顯示,這次攻擊影響了超過 25,000 名論壇成員。

GitHub (2013)

Github 可以說是歷史上最大的暴力攻擊示例。 2013 年,黑客經過多次嘗試從近 40,000 個唯一 IP 地址獲得了對多個用戶帳戶的訪問權限。 報告表明,黑客使用了從其他數據洩露中獲得的信息。

Github 安全地存儲用戶密碼,儘管尚不清楚有多少帳戶被盜,但估計顯示它們很少。

蠻力攻擊的目標是什麼?

用戶數據在我們的數字世界中非常有價值。 從付款信息或稅務詳細信息,到簡單地訪問電子郵件地址和密碼。 這些是蠻力攻擊的主要原因。

訪問您的用戶數據

擁有大量用戶數據的網站通常是暴力攻擊的目標。 一旦成功,黑客不僅可以訪問用戶帳戶,還可以經常在其他網站上使用這些登錄詳細信息。

事實上,通過已知用戶詳細信息的數據庫,黑客可以使用這些收集到的互聯網網站上的詳細信息進行暴力攻擊。

利用網絡資源

通過暴力破解 WordPress 登錄等特定黑客攻擊,攻擊者試圖利用您網站的資源為自己謀取利益。 例如,他們可能想在您不知情的情況下使用您的網站發送垃圾郵件和網絡釣魚電子郵件。 黑客也可能使用您的網站來入侵其他網站,因為您的 IP 可能尚未被列入黑名單。

暴力破解 WordPress 登錄的其他原因包括挖掘加密貨幣或重定向您網站的流量。

探索漏洞

白帽黑客,通常被稱為道德黑客或黑客主義者,沒有任何惡意。 相反,他們測試系統安全性的強度以清除漏洞並報告它們。 因此,作為安全檢查的一部分,白帽黑客可能會對網站進行暴力攻擊。

如何防止暴力攻擊?

像大多數網絡安全元素一樣,可以通過許多簡單的步驟來防止暴力攻擊。

使用複雜的密碼

已確認的 10 起數據洩露事件中有 8 起是由於密碼薄弱或被盜——上述字典攻擊。 因此,一個很好的起點是確保您的密碼是:

  • 強(字母、數字和特殊字符的組合)
  • 在所有平台上獨一無二
  • 超過 12 個字符

使用通用密碼的自動暴力攻擊可以在幾秒鐘內進入網站或用戶帳戶。

限制登錄到特定 IP 地址

限制某些 IP 地址訪問您的站點也可以阻止暴力攻擊。 許多安全數據庫都有蠻力機器人 IP 地址的記錄。 通過阻止這些 IP 地址,黑客需要加倍努力才能成功訪問您的網站。

一種方法是為靜態 IP 地址設置遠程訪問端口。 您還可以配置 VPN。

使用雙重身份驗證

雙因素身份驗證通常被認為是抵禦暴力攻擊的第一道防線。 它們確保黑客無法僅通過用戶名和密碼訪問您的數據。 他們也需要您的智能手機或電子郵件客戶端。

監控您的服務器日誌

密切關注您的服務器日誌是一種更主動的方式來保護您的網站免受暴力攻擊。 日誌記錄每次失敗的登錄嘗試,通過分析它們,您可以識別可疑活動。

使用 Logwatch 等工具執行日常檢查並生成您可以輕鬆解讀的報告。

阻止您網站上的機器人活動

由於蠻力攻擊通常由自動機器人執行,因此阻止這種形式的流量是避免它們的最有效方法之一。

ClickCease 的 Bot Zapping 會阻止 WordPress 網站上的機器人流量。 這意味著可以主動和實時地阻止 SEO 垃圾郵件、DDoS 攻擊和暴力攻擊等網絡攻擊。

如果您運行具有用戶數據庫、結帳功能的站點,或者即使您管理的是高流量站點,您也需要考慮將阻止機器人流量作為一項重要的安全功能。

超越蠻力攻擊

儘管暴力攻擊可能由於多種原因造成破壞,但對您的在線業務的威脅是多種多樣的。 而且,如上所述,它通常歸結為機器人。

惡意機器人推動了互聯網上的大多數惡意和破壞性活動。 因此,注意網絡安全並防止任何類型的機器人訪問您的網站意味著您可以受到以下保護:

  • 數據洩露和隨之而來的對您聲譽的損害
  • 損壞您的網站基礎設施,例如惡意軟件安裝或內容注入
  • 網站在 DDoS 或勒索軟件攻擊中脫機
  • 點擊欺詐和廣告欺詐損害您的付費廣告活動

ClickCease 的 Bot Zapping 是一款新產品,是我們面向營銷人員的反欺詐工具包的一部分。 目前它僅適用於 WordPress 網站,儘管 WordPress 網站佔互聯網的 40%。

現有的 ClickCease 用戶可以免費運行一個月的 Bot Zapping 來了解它是如何工作的。

新用戶可以註冊免費試用,在他們的網站上運行流量審計。