Brute force-angreb er et af de ældste tricks i hackerens spillebog, men de forbliver utrolig effektive. Forestil dig, at nogen utrætteligt forsøger at gætte kombinationen til dit pengeskab undtagen i stedet for kun én person, det er en kraftfuld algoritme, der tester millioner af kombinationer hvert sekund.
I denne artikel vil jeg komme ind på det nøgneste af mekanikken i brute-force-angreb, deres forskellige typer og, vigtigst af alt, hvordan man effektivt forhindrer brute-force-angreb. Vi dækker essentielle strategier, platformspecifikke forsvar og avancerede værktøjer til at hjælpe dig med at sikre dine systemer og overliste cyberkriminelle.
- Hvad er et Brute-Force Attack?
- Bedste praksis for, hvordan man forhindrer brute-force-angreb
- Brute-Force Attack Prevention på WordPress
- Sikring mod SSH Brute-Forcing
- Almindeligt brugte Brute-Force-angrebsværktøjer og hvordan man bekæmper dem
- Afsluttende tanker og avancerede foranstaltninger til forebyggelse af brute-Force-angreb
Hvad er et Brute-Force Attack?
Et af de mest almindelige angreb, en webudvikler kan blive udsat for, er et brute-force-angreb. Det er her, angribere bruger algoritmer, der prøver hver kombination af bogstaver, tal og symboler i en trial-and-error-metode, indtil de finder den rigtige kombination.
Det, der er svært ved denne form for angreb, er dens enkelhed og rene vedholdenhed; der er intet smart trick eller specielt smuthul, der nemt kan opdages og blokeres, da adgangskoder er en afgørende del af ethvert sikkerhedssystem.
Brute force-angreb er ikke kræsne - de retter sig mod alt, hvad de kan få fat i, fra personlige konti til store virksomhedssystemer. Men virkningen af disse angreb afhænger ofte af den pågældende platform. Et kompromitteret WordPress admin-login kan betyde ødelagte websteder eller stjålne kundedata, mens et SSH brute force-angreb kan åbne sluserne til en virksomheds hele serverinfrastruktur.
Disse angreb påvirker også omdømmet og forårsager dyre nedetider. Virksomheder, der er afhængige af online-operationer, som e-handel eller SaaS-udbydere, mister ofte både omsætning og kundetillid under brud. 60 % af små virksomheder lukke inden for seks måneder efter et større cyberangreb, som viser dig, hvor ødelæggende disse hændelser kan være.
Men før vi taler om, hvordan man forhindrer brute-force-angreb, skal du vide, hvordan de virker, og de forskellige typer af brute-force-metoder, som angribere bruger.
Begynd at blogge
Selvvært din WordPress på top-tier hardware, med NVMe-lagring og minimal latenstid rundt om i verden - vælg din yndlingsdistro.
Få WordPress VPS
Forskellige typer af brute-force angreb
Der er flere varianter af brute-force-angreb.
- Ordbogsangreb: Målret let gættelige adgangskoder ved gentagne gange at prøve en liste over almindeligt anvendte adgangskoder, såsom "123456" eller "adgangskode".
- Legitimationsfyldning: Hackere bruger lækkede brugernavn-adgangskodekombinationer fra tidligere brud for at få adgang til flere konti.
- Omvendte brute-force-angreb: Involver at starte med en kendt adgangskode (såsom "123456" eller "velkommen") og systematisk tjekke den mod utallige brugernavne for at finde et match, svarende til at fiske med en agn.
- Regnbuebordsangreb: Brug præberegnede tabeller, der kortlægger hash til adgangskoder, hvilket muliggør hurtigere cracking af hash-kodeord uden at beregne hver hash på stedet.
- Adgangskodesprøjtning: I stedet for at bombardere en enkelt konto med flere adgangskoder, testes nogle få almindelige adgangskoder på tværs af mange brugernavne for at udnytte svagheder uden at udløse lockouts.
- Online brute-force angreb: Målret mod live-systemer som websteder og apps. De interagerer med servere, men kan blive udsat for potentiel regulering eller hastighedsbegrænsning, hvilket gør dem langsommere, men farlige mod svage login-former.
- Offline Brute-Force-angreb: Udført på en stjålet fil med krypterede adgangskoder, hvilket giver hackere mulighed for at teste dekrypteringsnøgler ved høj hastighed på deres maskiner, uopdaget af firewalls eller overvågningssystemer.
Hvorfor er disse angreb så udbredte? En stor del af problemet er os. Det viser undersøgelser 65 % af mennesker genbrug adgangskoder på tværs af flere konti. Det er som at give en tyv en hovednøgle - når først de har én adgangskode, kan de potentielt låse alt op. Og det hjælper ikke, at adgangskoder som "qwerty" stadig topper hitlisterne som favoritter år efter år.
For at sætte ind i billedet, hvor almindelige disse angreb er, er her en statistik: 22,6% af alle loginforsøg på e-handelswebsteder i 2022 var brute force- eller credential-stuffing-angreb. Det er næsten hvert fjerde forsøg! Virksomheder stod over for svigagtige køb, kundedatatyveri og store PR-mareridt på grund af disse ubarmhjertige angreb.
Desuden søger hackere målsidesider og finjusterer deres brute force-værktøjer til at matche webstedets specifikke parameterkrav. Login-sider er de åbenlyse mål, men CMS-administrationsportaler er også populære hotspots for angribere. Disse omfatter:
- WordPress: Almindelige indgangspunkter som wp-admin og wp-login.php.
- Magento: Sårbare stier såsom /index.php og admin paneler.
- Joomla!: Dens administratorside er en hyppig bullseye.
- vBulletin: Admin dashboards som admin cp befinder sig ofte i trådkorset.
Den gode nyhed? At forstå risiciene er halvdelen af kampen. Uanset om du sikrer et WordPress-websted, en SSH-server eller en hvilken som helst anden platform, er det første skridt i, hvordan du forhindrer brute-force-angreb, at vide, hvor dine sårbarheder ligger.
Bedste praksis for, hvordan man forhindrer brute-force-angreb
At stoppe brute force-angreb kræver en blanding af sund fornuft og smarte strategier. Tænk på det som at låse alle døre og vinduer i dit hus – og tilføje et sikkerhedssystem for en sikkerheds skyld. Disse bedste praksisser fungerer på tværs af de fleste platforme og giver dig et stærkt grundlag for at holde dine systemer sikre og er vigtige trin i, hvordan du forhindrer brute-force-angreb.
Brug stærke, unikke adgangskoder
Svage eller genbrugte adgangskoder er en åben invitation til brute force-angreb. Vælg adgangskoder, der er mindst 12 tegn lange, indeholder en blanding af bogstaver, tal og symboler, og undgå alt forudsigeligt. EN undersøgelse fundet at "123456" og "adgangskode" stadig var blandt de mest almindelige adgangskoder i 2022.
Implementer Multi-Factor Authentication (MFA)
Med MFA, selvom en hacker gætter din adgangskode, har de brug for et ekstra verifikationstrin, som en engangskode sendt til din telefon. Ifølge Microsoft, MFA blokerer mere end 99,2 % af kontokompromisangreb. Tjek vores guide på hvordan man aktiverer to-faktor-godkendelse på Windows 10.
Aktiver kontolåse
Begræns mislykkede loginforsøg, før du midlertidigt låser kontoen. Denne enkle funktion stopper brute force-angreb i deres spor.
Opsæt hastighedsbegrænsning
Begræns, hvor ofte loginforsøg kan foretages inden for en tidsramme. For eksempel kan det at tillade kun fem forsøg i minuttet gøre brute-force-angreb mindre sandsynlige.
Overvåg og reagere på usædvanlig aktivitet
Brug værktøjer som intrusion detection systems (IDS) til at fange brute force-forsøg tidligt.
Det bedste forsvar er lagdelt. At kombinere disse taktikker og vide, hvordan man stopper brute force-angreb gør det meget sværere for angribere at få succes. Dernæst vil vi undersøge, hvordan man anvender disse principper på specifikke platforme som WordPress, hvor brute-force-angreb er særligt almindelige.
Brute-Force Attack Prevention på WordPress
WordPress-websteder er hackermagneter. Med millioner af websteder, der kører på platformen, ved angribere, at oddsene er til deres fordel for at finde en med svag sikkerhed. At vide, hvordan man forhindrer brute force-angreb på WordPress kan gøre hele forskellen - og det er nemmere, end du tror.
Skift standard login-URL
Hackere målretter mod standard login-siden (/wp-admin eller /wp-login.php). At skifte til en brugerdefineret URL er som at flytte hoveddøren - meget sværere for angribere at finde.
Installer sikkerhedsplugins
Plugins som Wordfence og Sucuri tilbyder kraftfulde værktøjer til forebyggelse af brute force angreb, herunder CAPTCHA'er, IP-blokering og realtidsovervågning.
Deaktiver XML-RPC
XML-RPC er en gateway, som hackere udnytter til loginforsøg. Deaktivering af det er et must for at reducere sårbarheden over for brute force-angreb, som WordPress-websteder ofte udsættes for.
Tilføj CAPTCHA til login-sider
CAPTCHA sikrer, at kun mennesker kan logge ind, og lukker automatiske brute force-værktøjer ned.
Hærd wp-config.php
Begræns adgangen til wp-config.php, dit websteds plan, ved at justere .htaccess eller serverregler.
Opdater regelmæssigt
Forældede plugins og temaer er åbne døre for angribere. Regelmæssige opdateringer retter kendte sårbarheder og beskytter mod WordPress-risici med brute force-angreb. Dette er nøglen til at forsvare sig mod et brute force-angreb, WordPress-websteder er så tilbøjelige til.
Med disse trin bliver dit WordPress-websted markant mere sikkert. Dernæst vil vi tackle sikring af SSH-servere, et andet hyppigt mål for brute force-angreb.
Sikring mod SSH Brute-Forcing
SSH-servere er som de digitale nøgler til dit kongerige, hvilket gør dem til primære mål for hackere. At vide, hvordan man forhindrer brute force-angreb på SSH, er ikke bare smart – det er afgørende for at beskytte følsomme systemer.
Brug SSH-nøglegodkendelse
Adgangskodebaserede logins er risikable. Skifter til SSH-nøglegodkendelse tilføjer et ekstra lag af sikkerhed, da angribere har brug for adgang til din private nøgle, ikke kun en gættet adgangskode. Dette reducerer drastisk succesraten for SSH brute force-angreb.
Deaktiver root-login
Rodbrugeren er ofte det første mål i SSH brute forcering. Deaktiver direkte root-login og opret en separat brugerkonto med begrænsede privilegier. Hackere kan ikke brute force, hvad de ikke kan målrette mod.
Konfigurer UFW og Fail2Ban
Værktøjer som UFW og Fail2Ban overvåger mislykkede loginforsøg og blokerer IP'er, der viser mistænkelig adfærd. Det er et af de mest effektive forsvar for, hvordan man stopper brute-force-angreb på SSH-servere. Her er vores detaljerede guide til hvordan man installerer, aktiverer og administrerer UFW og Fail2Ban.
Skift standardporten
Som standard bruger SSH port 22, og hackere ved det. Flytter SSH til en ikke-standard port tilføjer et enkelt, men effektivt lag af uklarhed.
Brug IP-hvidlisting
Begræns SSH-adgang til specifikke IP-adresser. Dette blokerer fuldstændigt for uønsket trafik, hvilket forhindrer brute force-værktøjer i overhovedet at komme i gang.
Med disse trin vil din SSH-server være langt mindre sårbar over for angreb. Nu hvor vi har dækket almindelig praksis i, hvordan man forhindrer brute-force-angreb, lad os tale om at bekæmpe specifikke værktøjer, som disse angribere bruger.
Almindeligt brugte Brute-Force-angrebsværktøjer og hvordan man bekæmper dem
Selvom ovenstående praksis kan hjælpe betydeligt med forebyggelse af brute-force-angreb, er de for det meste generelle ting til, hvordan man forhindrer brute-force-angreb; Men sagen er, at mange angribere bruger nogle få bestemte værktøjer, og det er meget vigtigt at vide, hvordan man bekæmper dem.
Værktøjer til at knække adgangskode til Wi-Fi
Aircrack-ng: Et alsidigt værktøj til at knække Wi-Fi-adgangskoder gennem ordbogsangreb på WEP, WPA og WPA2-PSK, tilgængeligt for flere platforme.
- Afhjælpning: Brug WPA3-kryptering, opret lange og komplekse adgangskoder, aktiver MAC-adressefiltrering og implementer trådløse indtrængningsdetektionssystemer (WIDS).
Generelle værktøjer til krakning af adgangskode
John the Ripper: Identificerer svage adgangskoder og knækker dem ved hjælp af brute force eller ordbogsangreb, der understøtter 15+ platforme, inklusive Windows og Unix.
- Afhjælpning: Håndhæv stærke adgangskodepolitikker (minimum 12 tegn, høj kompleksitet), brug saltede hashes, og udfør regelmæssige adgangskoderevisioner og -rotation.
Rainbow Crack: Bruger forudberegnet regnbuetabeller til at fremskynde adgangskodeknækning og understøtter både Windows og Linux.
- Afhjælpning: Brug saltede hashes til at gøre regnbuetabeller ineffektive og anvende hashing-algoritmer som bcrypt, Argon2 eller script.
L0phtCrack: Knækker Windows-adgangskoder ved hjælp af ordbog, brute-force, hybridangreb og regnbuetabeller, mens de understøtter avancerede funktioner som hash-udtrækning og netværksovervågning.
- Afhjælpning: Lås konti efter mislykkede forsøg, brug adgangssætninger for stærkere entropi, og håndhæv multifaktorautentificering (MFA).
Ophcrack: Fokuserer på at knække Windows-adgangskoder gennem LM-hashes ved hjælp af indbyggede regnbuetabeller, som ofte afsluttes på få minutter.
- Afhjælpning: Opgrader til systemer, der ikke er afhængige af LM-hashes (f.eks. Windows 10+), brug lange, komplekse adgangskoder, og deaktiver SMBv1.
Avancerede og multifunktionelle adgangskodeværktøjer
Hashcat: Et GPU-accelereret værktøj, der understøtter en række hashes og angreb som brute force, ordbog og hybrid.
- Afhjælpning: Håndhæv stærke adgangskodepolitikker, gem sikkert hash-filer, og krypter følsomme data med stærke nøgler.
DaveGrohl: Mac OS X-eksklusivt værktøj, der understøtter distribueret brute force og ordbogsangreb.
- Afhjælpning: Revider Mac OS X-systemer, begræns adgangskodefiladgang, og håndhæv multifaktorautentificering (MFA).
Netværksgodkendelse og protokolværktøjer
Ncrack: Knækker netværksgodkendelsesprotokoller som RDP, SSH og FTP på tværs af forskellige platforme.
- Afhjælpning: Begræns adgangen til netværksvendte tjenester via firewalls, håndhæv IP-baseret blokering efter flere mislykkede loginforsøg, og brug ikke-standardporte til kritiske tjenester.
THC Hydra: Udfører ordbogsbaserede brute force-angreb på over 30 protokoller, inklusive Telnet, FTP og HTTP(S).
- Afhjælpning: Tvinge CAPTCHA eller andre mekanismer til at begrænse genforsøg, bruge krypterede protokoller (f.eks. FTPS, HTTPS) og kræve MFA for sikker adgang
Specialiserede værktøjer til web, underdomæner og CMS
Gobuster: Ideel til brute-forcing underdomæner og mapper i webpenetrationstest.
- Afhjælpning: Brug webapplikationsfirewalls (WAF'er), begræns adgangen til følsomme mapper og skjul eller slør standardfilstrukturer.
Forskning: Opdager skjulte webstier og mapper under sikkerhedstest.
- Afbødning: Brug .htaccess- eller serverregler til at begrænse adgangen, fjerne ubrugte mapper og sikre følsomme webstier
Burp Suite: En komplet websikkerhedstestpakke med brute force og sårbarhedsscanningsfunktioner.
- Afhjælpning: Reparer regelmæssigt webapplikationer, udfør penetrationstest og overvåg for unormal brute force-aktivitet.
CMSeek: Fokuserer på at opdage og udnytte CMS-sårbarheder under test.
- Afhjælpning: Hold CMS-platforme opdaterede, sikre konfigurationer, og begræns brute-force-forsøg med beskyttende plugins.
Token, sociale medier og diverse værktøjer
JWT Cracker: Specialiseret i at knække JSON Web Tokens til testformål.
- Afhjælpning: Brug lange, sikre nøgler til JWT-signering, håndhæv korte token-udløbstider og afvis svage eller usignerede algoritmer.
SocialBox: Bruges til brute-force-test på sociale medier.
- Afhjælpning: Aktiver kontolåsning efter mislykkede forsøg, håndhæv to-faktor-godkendelse, og oplys brugere om phishing-bevidsthed.
Forudsigelse: En ordbogsbygger til at skabe tilpassede ordlister til brute-force-angreb.
- Afhjælpning: Overvåg for legitimationslækager, undgå at bruge svage standardadgangskoder, og håndhæv løbende revisioner for sikkerheden.
Patator: Et multi-purpose brute force-værktøj, der understøtter forskellige protokoller og metoder.
- Afhjælpning: Implementer hastighedsbegrænsning, tilpassede fejlmeddelelser og stærke kontolåsemekanismer for at bremse angribere.
Nettracker: Automatiserer penetrationstestopgaver, herunder brute force og andre vurderinger.
- Afhjælpning: Overvåg regelmæssigt netværkslogfiler, isoler testlegitimationsoplysninger og sørg for, at penetrationsværktøjer administreres sikkert.
Afsluttende tanker og avancerede foranstaltninger til forebyggelse af brute-Force-angreb
Avancerede værktøjer som adfærdsanalysesoftware, honeypots og IP-omdømmeblokkere kan spotte og stoppe trusler, før de får fat. Disse proaktive foranstaltninger fungerer sammen med de vigtigste, såsom multi-faktor-autentificering og stærke adgangskoder, for at skabe et bundsolidt forsvar.
At lære at forhindre brute force-angreb betyder at tænke langsigtet. At parre smarte strategier med værktøjer til forebyggelse af brute force-angreb hjælper med at beskytte dine systemer mod selv de mest vedholdende angribere. Forbliv skarp, forbliv tilpasningsdygtig, og behandl cybersikkerhed som en investering i din fremtid.
