暴力攻击是黑客伎俩中最古老的伎俩之一,但它们仍然非常有效。想象一下有人不知疲倦地试图猜测您保险箱的密码,但它不仅仅是一个人,而是一种每秒测试数百万个组合的强大算法。
在本文中,我将详细介绍暴力攻击的机制、不同类型,以及最重要的是如何有效防止暴力攻击。我们将介绍基本策略、特定于平台的防御措施和高级工具,以帮助您保护系统并智取网络犯罪分子。
什么是暴力攻击?
Web 开发人员可能面临的最常见的攻击之一是暴力攻击。攻击者使用算法以试错法尝试字母、数字和符号的每种组合,直到找到正确的组合。
这种攻击的困难之处在于它的简单性和纯粹的持久性。没有什么巧妙的技巧或特殊的漏洞可以轻易发现和阻止,因为密码是任何安全系统的重要组成部分。
暴力攻击并不挑剔——他们会攻击任何他们能得到的东西,从个人账户到主要的公司系统。但是,这些攻击的影响通常取决于相关平台。 WordPress 管理员登录信息被盗可能意味着网站遭到破坏或客户数据被盗,而 SSH 暴力攻击可能会打开公司整个服务器基础设施的闸门。
这些攻击还会损害声誉并导致代价高昂的停机。依赖在线运营的企业(例如电子商务或 SaaS 提供商)通常会在违规期间失去收入和客户信任。 60% 的小型企业 一次重大网络攻击发生后六个月内就结束了,这向您展示了这些事件的破坏性有多大。
但在我们讨论如何防止暴力攻击之前,您需要了解它们的工作原理以及攻击者使用的不同类型的暴力方法。
开始写博客
在顶级硬件上自行托管您的 WordPress,具有 NVMe 存储和全球最低延迟 - 选择您最喜欢的发行版。
获取 WordPress VPS
不同类型的暴力攻击
暴力攻击有多种形式。
- 字典攻击: 通过重复尝试常用密码列表(例如“123456”或“password”)来锁定容易猜到的密码。
- 凭证填充: 黑客利用过去泄露的用户名密码组合来访问多个帐户。
- 反向暴力攻击: 从已知密码(例如“123456”或“欢迎”)开始,系统地对照无数用户名进行检查以找到匹配项,类似于用一饵钓鱼。
- 彩虹表攻击: 利用将哈希值映射到密码的预先计算表,可以更快地破解哈希密码,而无需当场计算每个哈希值。
- 密码喷射: 不是用多个密码猜测轰炸单个帐户,而是在多个用户名上测试一些常用密码,以利用弱点而不触发锁定。
- 在线暴力攻击: 定位实时系统,例如网站和应用程序。它们与服务器交互,但可能面临潜在的限制或速率限制,这使得它们速度较慢,但对于弱登录表单来说却很危险。
- 离线暴力攻击: 对被盗的加密密码文件进行操作,允许黑客在其计算机上高速测试解密密钥,而不会被防火墙或监控系统检测到。
为什么这些攻击如此普遍?问题的很大一部分是我们自己。研究表明 65%的人 在多个帐户中重复使用密码。这就像给小偷一把万能钥匙——一旦他们有了一个密码,他们就有可能解锁所有东西。而且像“qwerty”这样的密码仍然年复一年地高居最受欢迎的密码榜首,这也无济于事。
为了说明这些攻击的普遍性,这里有一个统计数据: 占所有登录尝试的 22.6% 2022 年电子商务网站上的暴力攻击或撞库攻击。这几乎是四分之一的尝试!由于这些无情的攻击,企业面临着欺诈性购买、客户数据盗窃和重大公关噩梦。
此外,黑客还会确定目标网站页面并微调其暴力工具以匹配网站的特定参数要求。登录页面是明显的目标,但 CMS 管理门户也是攻击者的热门热点。这些包括:
- WordPress:常见入口点,例如 wp-admin 和 wp-login.php。
- 马根托: /index.php 和管理面板等易受攻击的路径。
- 乔姆拉!: 它的管理员页面是常见的靶心。
- v公告: 像 admin cp 这样的管理仪表板经常发现自己处于十字准线中。
好消息?了解风险就成功了一半。无论您是要保护 WordPress 网站、SSH 服务器还是任何其他平台,了解漏洞所在是防止暴力攻击的第一步。
如何防止暴力攻击的最佳实践
阻止暴力攻击需要常识和明智策略的结合。可以把它想象成锁上你房子里的每一扇门和窗户,并添加一个安全系统以防万一。这些最佳实践适用于大多数平台,为您确保系统安全奠定了坚实的基础,并且是防止暴力攻击的重要步骤。
使用强而独特的密码
弱密码或重复使用的密码是暴力攻击的公开邀请。选择长度至少为 12 个字符的密码,包含字母、数字和符号的组合,并避免任何可预测的内容。一个 研究发现 到 2022 年,“123456”和“password”仍然是最常见的密码之一。
实施多重身份验证 (MFA)
使用 MFA,即使黑客猜出了您的密码,他们也需要额外的验证步骤,例如发送到您手机的一次性代码。 据微软称,MFA 阻止了 99.2% 以上的账户泄露攻击。查看我们的指南 如何在 Windows 10 上启用双因素身份验证.
启用帐户锁定
在暂时锁定帐户之前限制失败的登录尝试。这个简单的功能可以阻止暴力攻击。
设置速率限制
限制在一段时间内尝试登录的频率。例如,每分钟仅允许五次尝试可以降低暴力攻击的可能性。
监控和响应异常活动
使用入侵检测系统 (IDS) 等工具尽早捕获暴力尝试。
最好的防御是分层的。结合这些策略并了解如何阻止暴力攻击,可以使攻击者更难取得成功。接下来,我们将探讨如何将这些原则应用于 WordPress 等特定平台,其中暴力攻击尤其常见。
WordPress 的暴力破解攻击预防
WordPress 网站是黑客的磁石。由于该平台上运行着数以百万计的网站,攻击者知道他们很有可能找到安全性较弱的网站。了解如何防止对 WordPress 的暴力攻击可以发挥重要作用,而且比您想象的要容易。
更改默认登录 URL
黑客瞄准默认登录页面(/wp-admin 或 /wp-login.php)。切换到自定义 URL 就像移动前门一样,攻击者更难发现。
安装安全插件
Wordfence 和 Sucuri 等插件提供强大的暴力攻击防御工具,包括验证码、IP 阻止和实时监控。
禁用 XML-RPC
XML-RPC 是网关黑客用来尝试登录的漏洞。为了减少 WordPress 网站经常面临的暴力攻击的脆弱性,必须禁用它。
将验证码添加到登录页面
验证码确保只有人类才能登录,从而关闭自动暴力工具。
强化 wp-config.php
通过调整 .htaccess 或服务器规则来限制对 wp-config.php(您网站的蓝图)的访问。
定期更新
过时的插件和主题为攻击者敞开了大门。定期更新修补已知漏洞,防范WordPress遭受暴力破解风险。这是防御 WordPress 网站容易遭受的暴力攻击的关键。
通过这些步骤,您的 WordPress 网站将变得更加安全。接下来,我们将解决 SSH 服务器的安全问题,这是暴力攻击的另一个常见目标。
防止 SSH 暴力破解
SSH 服务器就像王国的数字钥匙,这使得它们成为黑客的主要目标。了解如何防止对 SSH 的暴力攻击不仅是明智之举,而且对于保护敏感系统至关重要。
使用 SSH 密钥身份验证
基于密码的登录存在风险。 切换到 SSH 密钥身份验证 添加了额外的安全层,因为攻击者需要访问您的私钥,而不仅仅是猜测的密码。这大大降低了 SSH 暴力攻击的成功率。
禁用根登录
root 用户通常是 SSH 暴力破解的第一个目标。禁用直接 root 登录并创建一个具有有限权限的单独用户帐户。黑客无法暴力破解他们无法瞄准的目标。
设置 UFW 和 Fail2Ban
UFW 和 Fail2Ban 等工具可监控失败的登录尝试并阻止显示可疑行为的 IP。它是阻止 SSH 服务器暴力攻击的最有效防御措施之一。这是我们的详细指南 如何安装、启用和管理 UFW 和 Fail2Ban.
更改默认端口
默认情况下,SSH 使用端口 22,黑客也知道这一点。 将 SSH 移至非标准端口 添加了一个简单但有效的模糊层。
使用IP白名单
限制对特定 IP 地址的 SSH 访问。这完全阻止了不需要的流量,甚至阻止了暴力工具的启动。
通过这些步骤,您的 SSH 服务器将不容易受到攻击。现在我们已经介绍了如何防止暴力攻击的常见做法,让我们来谈谈对抗这些攻击者使用的特定工具。
常用的暴力攻击工具及其应对方法
虽然上述做法可以极大地帮助防止暴力攻击,但它们大多是关于如何防止暴力攻击的一般内容;然而,问题是许多攻击者使用一些特定的工具,了解如何对抗它们非常重要。
Wi-Fi 密码破解工具
Aircrack-ng: 一款多功能工具,用于通过 WEP、WPA 和 WPA2-PSK 的字典攻击破解 Wi-Fi 密码,适用于多个平台。
- 减轻: 使用 WPA3 加密、创建长且复杂的密码、启用 MAC 地址过滤并部署无线入侵检测系统 (WIDS)。
通用密码破解工具
开膛手约翰: 识别弱密码并使用暴力或字典攻击破解它们,支持超过 15 个平台,包括 Windows 和 Unix。
- 减轻: 实施强密码策略(至少 12 个字符,高复杂性),使用加盐哈希,并定期执行密码审核和轮换。
彩虹裂缝: 利用预先计算的彩虹表来加速密码破解,支持Windows和Linux。
- 减轻: 使用加盐哈希使彩虹表无效,并应用 bcrypt、Argon2 或脚本等哈希算法。
L0pht破解: 使用字典、暴力破解、混合攻击和彩虹表破解 Windows 密码,同时支持哈希提取和网络监控等高级功能。
- 减轻: 尝试失败后锁定帐户,使用密码短语以获得更强的熵,并强制执行多重身份验证 (MFA)。
眼裂: 专注于使用内置彩虹表通过 LM 哈希破解 Windows 密码,通常在几分钟内完成。
- 减轻: 升级到不依赖 LM 哈希的系统(例如 Windows 10+)、使用长而复杂的密码并禁用 SMBv1。
先进的多用途密码工具
哈希猫: 一种 GPU 加速工具,支持各种哈希和攻击,例如暴力破解、字典和混合攻击。
- 减轻: 实施强密码策略,安全存储哈希文件,并使用强密钥加密敏感数据。
戴夫·格罗尔: Mac OS X 独有的工具,支持分布式暴力破解和字典攻击。
- 减轻: 审核 Mac OS X 系统、限制密码文件访问并强制执行多重身份验证 (MFA)。
网络身份验证和协议工具
裂纹: 跨各种平台破解 RDP、SSH 和 FTP 等网络身份验证协议。
- 减轻: 通过防火墙限制对面向网络的服务的访问,在多次登录尝试失败后强制执行基于 IP 的阻止,并对关键服务使用非默认端口。
THC 九头蛇: 对 30 多种协议执行基于字典的暴力攻击,包括 Telnet、FTP 和 HTTP(S)。
- 减轻: 实施验证码或其他机制来限制重试,利用加密协议(例如 FTPS、HTTPS),并要求 MFA 进行安全访问
适用于 Web、子域和 CMS 的专用工具
哥巴斯特: 非常适合在 Web 渗透测试中暴力破解子域和目录。
- 减轻: 使用 Web 应用程序防火墙 (WAF)、限制对敏感目录的访问以及隐藏或混淆默认文件结构。
研究: 在安全测试期间发现隐藏的 Web 路径和目录。
- 缓解措施:使用 .htaccess 或服务器规则来限制访问、删除未使用的目录并保护敏感 Web 路径
打嗝套件: 完整的网络安全测试套件,具有暴力破解和漏洞扫描功能。
- 减轻: 定期修补 Web 应用程序、进行渗透测试并监控异常暴力活动。
CMSeek: 专注于在测试期间发现和利用 CMS 漏洞。
- 减轻: 保持 CMS 平台更新、保护配置并使用保护性插件限制暴力尝试。
代币、社交媒体和其他工具
智威汤逊破解器: 专门破解 JSON Web 令牌以进行测试。
- 减轻: 使用长而安全的密钥进行 JWT 签名,强制执行较短的令牌过期时间,并拒绝弱或未签名的算法。
社交盒子: 用于社交媒体帐户暴力测试。
- 减轻: 尝试失败后启用帐户锁定,强制实施双因素身份验证,并教育用户提高网络钓鱼意识。
预测器: 用于为暴力攻击创建自定义单词列表的字典构建器。
- 减轻: 监控凭证泄露,避免使用弱默认密码,并强制执行持续的安全审核。
帕塔托: 支持多种协议和方法的多用途暴力工具。
- 减轻: 实施速率限制、自定义错误消息和强大的帐户锁定机制来减缓攻击者的速度。
网络追踪器: 自动执行渗透测试任务,包括暴力破解和其他评估。
- 减轻: 定期监控网络日志,隔离测试凭据,并确保渗透工具得到安全管理。
最后的想法和先进的暴力攻击预防措施
行为分析软件、蜜罐和 IP 声誉拦截器等先进工具可以在威胁发生之前发现并阻止它们。这些主动措施与多因素身份验证和强密码等主要措施一起发挥作用,打造坚如磐石的防御。
学习如何防止暴力攻击意味着要长远思考。将智能策略与暴力攻击防御工具相结合,有助于保护您的系统免受最顽固的攻击者的攻击。保持敏锐,保持适应性,并将网络安全视为对未来的投资。
