Các cuộc tấn công vũ phu là một trong những thủ thuật lâu đời nhất trong cẩm nang của hacker, nhưng chúng vẫn vô cùng hiệu quả. Hãy tưởng tượng ai đó đang cố gắng đoán mã két sắt của bạn không mệt mỏi, ngoại trừ thay vì chỉ một người, đó là một thuật toán mạnh mẽ kiểm tra hàng triệu kết hợp mỗi giây.
Trong bài viết này, tôi sẽ tìm hiểu chi tiết về cơ chế tấn công vũ phu, các loại khác nhau của chúng và quan trọng nhất là cách ngăn chặn các cuộc tấn công vũ phu một cách hiệu quả. Chúng tôi sẽ đề cập đến các chiến lược thiết yếu, biện pháp phòng vệ dành riêng cho nền tảng và các công cụ nâng cao để giúp bạn bảo mật hệ thống của mình và vượt qua tội phạm mạng.
- Tấn công Brute-Force là gì?
- Các phương pháp hay nhất để ngăn chặn các cuộc tấn công Brute-Force
- Phòng chống tấn công Brute-Force trên WordPress
- Bảo vệ chống lại sự ép buộc của SSH
- Các công cụ tấn công Brute-Force thường được sử dụng và cách chống lại chúng
- Suy nghĩ cuối cùng và các biện pháp ngăn chặn cuộc tấn công vũ phu nâng cao
Tấn công Brute-Force là gì?
Một trong những cuộc tấn công phổ biến nhất mà nhà phát triển web có thể gặp phải là cuộc tấn công vũ phu. Đây là nơi kẻ tấn công sử dụng thuật toán thử từng tổ hợp chữ cái, số và ký hiệu theo phương pháp thử và sai cho đến khi tìm thấy tổ hợp phù hợp.
Điều khó khăn ở kiểu tấn công này là tính đơn giản và tính kiên trì tuyệt đối của nó; không có thủ thuật thông minh hay kẽ hở đặc biệt nào có thể dễ dàng bị phát hiện và chặn lại, vì mật khẩu là một phần quan trọng của bất kỳ hệ thống bảo mật nào.
Các cuộc tấn công bạo lực không hề kén chọn—chúng nhắm vào bất cứ thứ gì chúng có thể có được, từ tài khoản cá nhân đến các hệ thống công ty lớn. Tuy nhiên, tác động của những cuộc tấn công này thường phụ thuộc vào nền tảng được đề cập. Thông tin đăng nhập của quản trị viên WordPress bị xâm phạm có thể đồng nghĩa với việc các trang web bị xóa giao diện hoặc dữ liệu khách hàng bị đánh cắp, trong khi một cuộc tấn công vũ phu SSH có thể mở ra các cửa xả lũ cho toàn bộ cơ sở hạ tầng máy chủ của công ty.
Những cuộc tấn công này cũng gây tổn hại đến danh tiếng và gây ra thời gian ngừng hoạt động tốn kém. Các doanh nghiệp dựa vào hoạt động trực tuyến, như nhà cung cấp Thương mại điện tử hoặc SaaS, thường mất cả doanh thu và niềm tin của khách hàng khi vi phạm. 60% doanh nghiệp nhỏ đóng cửa trong vòng sáu tháng kể từ khi xảy ra một cuộc tấn công mạng lớn, điều này cho bạn thấy những sự cố này có thể tàn khốc đến mức nào.
Nhưng trước khi chúng ta nói về cách ngăn chặn các cuộc tấn công vũ phu, bạn cần biết cách chúng hoạt động và các loại phương pháp vũ phu khác nhau mà kẻ tấn công sử dụng.
Bắt đầu viết blog
Tự lưu trữ WordPress của bạn trên phần cứng hàng đầu, có bộ lưu trữ NVMe và độ trễ tối thiểu trên toàn thế giới — hãy chọn bản phân phối yêu thích của bạn.
Nhận VPS WordPress
Các kiểu tấn công Brute-Force khác nhau
Có một số kiểu tấn công vũ phu.
- Tấn công từ điển: Nhắm mục tiêu các mật khẩu dễ đoán bằng cách liên tục thử danh sách các mật khẩu thường được sử dụng, chẳng hạn như “123456” hoặc “mật khẩu”.
- Nhồi thông tin xác thực: Tin tặc sử dụng kết hợp tên người dùng-mật khẩu bị rò rỉ từ các lần vi phạm trước đây để có quyền truy cập vào nhiều tài khoản.
- Đảo ngược các cuộc tấn công Brute-Force: Liên quan đến việc bắt đầu bằng một mật khẩu đã biết (chẳng hạn như “123456” hoặc “chào mừng”) và kiểm tra mật khẩu đó một cách có hệ thống với vô số tên người dùng để tìm ra mật khẩu trùng khớp, tương tự như câu cá bằng một mồi.
- Tấn công bảng cầu vồng: Sử dụng các bảng được tính toán trước để ánh xạ các giá trị băm thành mật khẩu, cho phép bẻ khóa mật khẩu đã băm nhanh hơn mà không cần tính toán từng giá trị băm ngay tại chỗ.
- Xịt mật khẩu: Thay vì tấn công dồn dập vào một tài khoản bằng nhiều lần đoán mật khẩu, một số mật khẩu phổ biến được thử nghiệm trên nhiều tên người dùng để khai thác điểm yếu mà không gây ra tình trạng khóa.
- Tấn công Brute-Force trực tuyến: Nhắm mục tiêu các hệ thống trực tiếp như trang web và ứng dụng. Chúng tương tác với máy chủ nhưng có thể phải đối mặt với khả năng điều chỉnh hoặc giới hạn tốc độ, khiến chúng chậm hơn nhưng nguy hiểm trước các hình thức đăng nhập yếu.
- Tấn công Brute-Force ngoại tuyến: Được tiến hành trên một tập tin mật khẩu bị đánh cắp, cho phép tin tặc kiểm tra khóa giải mã ở tốc độ cao trên máy của chúng mà không bị tường lửa hoặc hệ thống giám sát phát hiện.
Tại sao những cuộc tấn công này lại phổ biến đến vậy? Một phần lớn của vấn đề là ở chúng ta. Các nghiên cứu cho thấy rằng 65% số người sử dụng lại mật khẩu trên nhiều tài khoản. Nó giống như đưa cho kẻ trộm một chìa khóa chính—khi có một mật khẩu, chúng có khả năng mở khóa mọi thứ. Và chẳng ích gì khi những mật khẩu như “qwerty” vẫn đứng đầu bảng xếp hạng được yêu thích hàng năm.
Để hình dung mức độ phổ biến của các cuộc tấn công này, đây là số liệu thống kê: 22,6% tổng số lần đăng nhập trên các trang web Thương mại điện tử vào năm 2022 là các cuộc tấn công vũ phu hoặc nhồi thông tin xác thực. Đó là gần một trong bốn lần thử! Các doanh nghiệp phải đối mặt với các giao dịch mua hàng gian lận, đánh cắp dữ liệu khách hàng và những cơn ác mộng PR lớn vì những cuộc tấn công không ngừng nghỉ này.
Hơn nữa, tin tặc sẽ xác định phạm vi các trang mục tiêu và tinh chỉnh các công cụ mạnh mẽ của chúng để phù hợp với yêu cầu tham số cụ thể của trang web. Các trang đăng nhập là mục tiêu rõ ràng, nhưng cổng quản trị CMS cũng là điểm nóng phổ biến cho những kẻ tấn công. Chúng bao gồm:
- WordPress: Các điểm vào phổ biến như wp-admin và wp-login.php.
- Magento: Các đường dẫn dễ bị tổn thương như /index.php và bảng quản trị.
- Joomla!: Trang quản trị của nó thường xuyên là điểm mấu chốt.
- vBản tin: Các bảng điều khiển dành cho quản trị viên như admin cp thường nằm trong tầm ngắm.
Tin tốt à? Hiểu được rủi ro là một nửa trận chiến. Cho dù bạn đang bảo mật trang web WordPress, máy chủ SSH hay bất kỳ nền tảng nào khác, việc biết lỗ hổng của bạn nằm ở đâu là bước đầu tiên để ngăn chặn các cuộc tấn công vũ phu ngay từ đầu.
Các phương pháp hay nhất để ngăn chặn các cuộc tấn công Brute-Force
Việc ngăn chặn các cuộc tấn công vũ phu đòi hỏi sự kết hợp giữa ý thức chung và chiến lược thông minh. Hãy coi việc này giống như việc khóa mọi cửa ra vào và cửa sổ trong nhà bạn — đồng thời bổ sung hệ thống an ninh để đề phòng. Những phương pháp hay nhất này hoạt động trên hầu hết các nền tảng và cung cấp cho bạn nền tảng vững chắc để giữ an toàn cho hệ thống của bạn, đồng thời là các bước quan trọng trong cách ngăn chặn các cuộc tấn công vũ phu.
Sử dụng mật khẩu mạnh, độc đáo
Mật khẩu yếu hoặc được sử dụng lại là lời mời mở cho các cuộc tấn công vũ phu. Chọn mật khẩu dài ít nhất 12 ký tự, bao gồm kết hợp các chữ cái, số và ký hiệu, đồng thời tránh mọi thứ có thể đoán trước được. MỘT nghiên cứu tìm thấy rằng “123456” và “mật khẩu” vẫn là một trong những mật khẩu phổ biến nhất vào năm 2022.
Triển khai xác thực đa yếu tố (MFA)
Với MFA, ngay cả khi tin tặc đoán được mật khẩu của bạn, chúng vẫn cần một bước xác minh bổ sung, chẳng hạn như mã một lần được gửi tới điện thoại của bạn. Theo Microsoft, MFA chặn hơn 99,2% các cuộc tấn công xâm phạm tài khoản. Hãy xem hướng dẫn của chúng tôi trên Cách bật Xác thực hai yếu tố trên Windows 10.
Bật khóa tài khoản
Hạn chế những lần đăng nhập thất bại trước khi khóa tài khoản tạm thời. Tính năng đơn giản này ngăn chặn các cuộc tấn công vũ phu đang diễn ra.
Thiết lập giới hạn tỷ lệ
Hạn chế tần suất thực hiện các lần đăng nhập trong một khung thời gian. Ví dụ: chỉ cho phép năm lần thử mỗi phút có thể làm cho các cuộc tấn công vũ phu ít xảy ra hơn.
Giám sát và ứng phó với hoạt động bất thường
Sử dụng các công cụ như hệ thống phát hiện xâm nhập (IDS) để sớm phát hiện các nỗ lực bạo lực.
Cách phòng thủ tốt nhất là theo lớp. Việc kết hợp các chiến thuật này và biết cách ngăn chặn các cuộc tấn công vũ phu khiến kẻ tấn công khó thành công hơn nhiều. Tiếp theo, chúng ta sẽ khám phá cách áp dụng những nguyên tắc này cho các nền tảng cụ thể như WordPress, nơi các cuộc tấn công bạo lực đặc biệt phổ biến.
Phòng chống tấn công Brute-Force trên WordPress
Các trang web WordPress là nam châm của hacker. Với hàng triệu trang web đang chạy trên nền tảng này, những kẻ tấn công biết rằng cơ hội tìm thấy một trang web có bảo mật yếu sẽ có lợi cho chúng. Biết cách ngăn chặn các cuộc tấn công vũ phu trên WordPress có thể tạo ra sự khác biệt và điều đó dễ dàng hơn bạn nghĩ.
Thay đổi URL đăng nhập mặc định
Tin tặc nhắm mục tiêu vào trang đăng nhập mặc định (/wp-admin hoặc /wp-login.php). Chuyển sang URL tùy chỉnh cũng giống như di chuyển cửa trước—kẻ tấn công khó phát hiện hơn nhiều.
Cài đặt plugin bảo mật
Các plugin như Wordfence và Sucuri cung cấp các công cụ ngăn chặn tấn công vũ phu mạnh mẽ, bao gồm CAPTCHA, chặn IP và giám sát thời gian thực.
Tắt XML-RPC
XML-RPC là một cổng mà tin tặc khai thác để cố gắng đăng nhập. Vô hiệu hóa nó là điều bắt buộc để giảm lỗ hổng trước các cuộc tấn công vũ phu mà các trang web WordPress thường gặp phải.
Thêm CAPTCHA vào trang đăng nhập
CAPTCHA đảm bảo chỉ con người mới có thể đăng nhập, tắt các công cụ bạo lực tự động.
Làm cứng wp-config.php
Hạn chế quyền truy cập vào wp-config.php, bản thiết kế trang web của bạn, bằng cách điều chỉnh các quy tắc .htaccess hoặc máy chủ.
Cập nhật thường xuyên
Các plugin và chủ đề lỗi thời là cánh cửa mở cho những kẻ tấn công. Các bản cập nhật thường xuyên vá các lỗ hổng đã biết, bảo vệ khỏi các rủi ro tấn công vũ phu của WordPress. Đây là chìa khóa để bảo vệ chống lại một cuộc tấn công vũ phu mà các trang web WordPress rất dễ mắc phải.
Với các bước này, trang web WordPress của bạn trở nên an toàn hơn đáng kể. Tiếp theo, chúng ta sẽ giải quyết vấn đề bảo mật máy chủ SSH, một mục tiêu thường xuyên khác của các cuộc tấn công vũ phu.
Bảo vệ chống lại sự ép buộc của SSH
Máy chủ SSH giống như chìa khóa kỹ thuật số dẫn đến vương quốc của bạn, khiến chúng trở thành mục tiêu hàng đầu của tin tặc. Biết cách ngăn chặn các cuộc tấn công vũ phu vào SSH không chỉ thông minh mà còn rất quan trọng để bảo vệ các hệ thống nhạy cảm.
Sử dụng xác thực khóa SSH
Đăng nhập dựa trên mật khẩu có nhiều rủi ro. Chuyển sang xác thực khóa SSH thêm một lớp bảo mật bổ sung, vì kẻ tấn công cần quyền truy cập vào khóa riêng của bạn chứ không chỉ là mật khẩu được đoán. Điều này làm giảm đáng kể tỷ lệ thành công của các cuộc tấn công vũ phu SSH.
Vô hiệu hóa đăng nhập root
Người dùng root thường là mục tiêu đầu tiên trong việc ép buộc SSH brute. Vô hiệu hóa đăng nhập root trực tiếp và tạo một tài khoản người dùng riêng với các đặc quyền hạn chế. Tin tặc không thể tấn công những gì chúng không thể nhắm mục tiêu.
Thiết lập UFW và Fail2Ban
Các công cụ như UFW và Fail2Ban giám sát các lần đăng nhập không thành công và chặn các IP có hành vi đáng ngờ. Đó là một trong những biện pháp phòng vệ hiệu quả nhất để ngăn chặn các cuộc tấn công vũ phu trên máy chủ SSH. Đây là hướng dẫn chi tiết của chúng tôi về cách cài đặt, kích hoạt và quản lý UFW và Fail2Ban.
Thay đổi cổng mặc định
Theo mặc định, SSH sử dụng cổng 22 và tin tặc biết điều đó. Di chuyển SSH sang một cổng không chuẩn thêm một lớp che khuất đơn giản nhưng hiệu quả.
Sử dụng danh sách trắng IP
Hạn chế quyền truy cập SSH vào các địa chỉ IP cụ thể. Điều này chặn hoàn toàn lưu lượng truy cập không mong muốn, thậm chí ngăn chặn các công cụ vũ phu bắt đầu.
Với các bước này, máy chủ SSH của bạn sẽ ít bị tấn công hơn. Bây giờ chúng ta đã đề cập đến các phương pháp phổ biến về cách ngăn chặn các cuộc tấn công vũ phu, hãy nói về việc chống lại các công cụ cụ thể mà những kẻ tấn công này sử dụng.
Các công cụ tấn công Brute-Force thường được sử dụng và cách chống lại chúng
Mặc dù các phương pháp trên có thể giúp ích đáng kể cho việc ngăn chặn các cuộc tấn công vũ phu, nhưng chúng chủ yếu là những công cụ chung về cách ngăn chặn các cuộc tấn công vũ phu; tuy nhiên, vấn đề là nhiều kẻ tấn công sử dụng một vài công cụ nhất định và việc biết cách chống lại chúng là rất quan trọng.
Công cụ bẻ khóa mật khẩu Wi-Fi
Aircrack-ng: Một công cụ linh hoạt để bẻ khóa mật khẩu Wi-Fi thông qua các cuộc tấn công từ điển vào WEP, WPA và WPA2-PSK, có sẵn cho nhiều nền tảng.
- Giảm thiểu: Sử dụng mã hóa WPA3, tạo mật khẩu dài và phức tạp, bật lọc địa chỉ MAC và triển khai hệ thống phát hiện xâm nhập không dây (WIDS).
Công cụ bẻ khóa mật khẩu chung
John Thợ Xẻ: Xác định mật khẩu yếu và bẻ khóa chúng bằng cách sử dụng các cuộc tấn công từ điển hoặc vũ lực, hỗ trợ hơn 15 nền tảng, bao gồm Windows và Unix.
- Giảm thiểu: Thực thi các chính sách mật khẩu mạnh (tối thiểu 12 ký tự, độ phức tạp cao), sử dụng hàm băm muối và thực hiện kiểm tra và luân chuyển mật khẩu thường xuyên.
Vết nứt cầu vồng: Sử dụng các bảng cầu vồng được tính toán trước để tăng tốc độ bẻ khóa mật khẩu, hỗ trợ cả Windows và Linux.
- Giảm thiểu: Sử dụng hàm băm muối để khiến bảng Rainbow không hiệu quả và áp dụng các thuật toán băm như bcrypt, Argon2 hoặc script.
L0phtCrack: Bẻ khóa mật khẩu Windows bằng cách sử dụng từ điển, tấn công vũ phu, tấn công kết hợp và bảng cầu vồng đồng thời hỗ trợ các tính năng nâng cao như trích xuất hàm băm và giám sát mạng.
- Giảm thiểu: Khóa tài khoản sau những lần thử không thành công, sử dụng cụm mật khẩu để có entropy mạnh hơn và thực thi xác thực đa yếu tố (MFA).
Ophcrack: Tập trung vào việc bẻ khóa mật khẩu Windows thông qua hàm băm LM bằng bảng cầu vồng tích hợp sẵn, thường hoàn thành sau vài phút.
- Giảm thiểu: Nâng cấp lên các hệ thống không dựa vào hàm băm LM (ví dụ: Windows 10+), sử dụng mật khẩu dài, phức tạp và tắt SMBv1.
Công cụ mật khẩu nâng cao và đa mục đích
Hashcat: Một công cụ được tăng tốc GPU hỗ trợ nhiều loại băm và tấn công như vũ phu, từ điển và kết hợp.
- Giảm thiểu: Thực thi các chính sách mật khẩu mạnh, lưu trữ an toàn các tệp băm và mã hóa dữ liệu nhạy cảm bằng khóa mạnh.
DaveGrohl: Công cụ độc quyền của Mac OS X hỗ trợ các cuộc tấn công từ điển và lực lượng vũ phu phân tán.
- Giảm thiểu: Kiểm tra hệ thống Mac OS X, hạn chế quyền truy cập tệp mật khẩu và thực thi xác thực đa yếu tố (MFA).
Công cụ giao thức và xác thực mạng
Ncrack: Phá vỡ các giao thức xác thực mạng như RDP, SSH và FTP trên nhiều nền tảng khác nhau.
- Giảm thiểu: Hạn chế quyền truy cập vào các dịch vụ đối mặt với mạng thông qua tường lửa, thực thi chặn dựa trên IP sau nhiều lần đăng nhập không thành công và sử dụng các cổng không mặc định cho các dịch vụ quan trọng.
THC Hydra: Thực hiện các cuộc tấn công vũ phu dựa trên từ điển trên hơn 30 giao thức, bao gồm Telnet, FTP và HTTP(S).
- Giảm thiểu: Thực thi CAPTCHA hoặc các cơ chế khác để hạn chế số lần thử lại, sử dụng các giao thức được mã hóa (ví dụ: FTPS, HTTPS) và yêu cầu MFA để truy cập an toàn
Các công cụ chuyên dụng dành cho Web, Tên miền phụ và CMS
Gobuster: Lý tưởng cho các tên miền phụ và thư mục cưỡng bức trong thử nghiệm thâm nhập web.
- Giảm thiểu: Sử dụng tường lửa ứng dụng web (WAF), hạn chế quyền truy cập vào các thư mục nhạy cảm và ẩn hoặc làm xáo trộn cấu trúc tệp mặc định.
Nghiên cứu: Khám phá các đường dẫn và thư mục web ẩn trong quá trình kiểm tra bảo mật.
- Giảm nhẹ: Sử dụng .htaccess hoặc quy tắc máy chủ để hạn chế quyền truy cập, xóa các thư mục không sử dụng và bảo mật các đường dẫn web nhạy cảm
Bộ ợ: Bộ thử nghiệm bảo mật web hoàn chỉnh với khả năng quét lỗ hổng và lực lượng mạnh mẽ.
- Giảm thiểu: Thường xuyên vá các ứng dụng web, tiến hành kiểm tra thâm nhập và theo dõi hoạt động bạo lực bất thường.
CMSeek: Tập trung vào việc khám phá và khai thác các lỗ hổng CMS trong quá trình thử nghiệm.
- Giảm thiểu: Luôn cập nhật nền tảng CMS, cấu hình bảo mật và hạn chế các nỗ lực bạo lực bằng các plugin bảo vệ.
Mã thông báo, phương tiện truyền thông xã hội và các công cụ khác
Trình bẻ khóa JWT: Chuyên bẻ khóa JSON Web Tokens cho mục đích thử nghiệm.
- Giảm thiểu: Sử dụng các khóa dài, an toàn để ký JWT, thực thi thời gian hết hạn mã thông báo ngắn và từ chối các thuật toán yếu hoặc không được ký.
Hộp xã hội: Được sử dụng để kiểm tra tài khoản mạng xã hội.
- Giảm thiểu: Cho phép khóa tài khoản sau những lần thử không thành công, thực thi xác thực hai yếu tố và giáo dục người dùng về nhận thức lừa đảo.
Dự đoán: Trình xây dựng từ điển để tạo danh sách từ tùy chỉnh cho các cuộc tấn công vũ phu.
- Giảm thiểu: Giám sát rò rỉ thông tin xác thực, tránh sử dụng mật khẩu mặc định yếu và thực thi kiểm tra liên tục để bảo mật.
Người bảo trợ: Một công cụ mạnh mẽ đa năng hỗ trợ các giao thức và phương pháp đa dạng.
- Giảm thiểu: Triển khai giới hạn tốc độ, thông báo lỗi tùy chỉnh và cơ chế khóa tài khoản mạnh mẽ để làm chậm những kẻ tấn công.
Người theo dõi mạng: Tự động hóa các nhiệm vụ kiểm tra thâm nhập, bao gồm cả đánh giá mạnh mẽ và các đánh giá khác.
- Giảm thiểu: Thường xuyên theo dõi nhật ký mạng, tách biệt thông tin xác thực kiểm tra và đảm bảo các công cụ thâm nhập được quản lý an toàn.
Suy nghĩ cuối cùng và các biện pháp ngăn chặn cuộc tấn công vũ phu nâng cao
Các công cụ nâng cao như phần mềm phân tích hành vi, honeypots và công cụ chặn danh tiếng IP có thể phát hiện và ngăn chặn các mối đe dọa trước khi chúng xâm chiếm. Các biện pháp chủ động này hoạt động cùng với các biện pháp chính, như xác thực đa yếu tố và mật khẩu mạnh, để tạo ra lớp phòng thủ vững chắc.
Học cách ngăn chặn các cuộc tấn công vũ phu có nghĩa là phải suy nghĩ lâu dài. Việc kết hợp các chiến lược thông minh với các công cụ ngăn chặn tấn công vũ phu giúp bảo vệ hệ thống của bạn khỏi những kẻ tấn công dai dẳng nhất. Luôn nhạy bén, luôn thích ứng và coi an ninh mạng là một khoản đầu tư cho tương lai của bạn.
