“暴力破解”的基本思想是,根据问题的一部分条件,来明确答案的大致范围,并在此范围内逐个验证所有可能的情况,直至全部情况验证完毕。当某一情形符合问题全部条件时,为本问题的一个解;当所有情形验证后均不满足问题全部条件时,为本题无解。经常出现在网站的登录系统中,通过对已知的管理员用户名尝试使用其登录密码。
检验方法:发现站点登录页。使用burp抓包登录页面,把它发送给Intpetrar,并密码设置参数,比如pwd=变量,添加payload(dictionary),开展攻击,在攻击期间查看它返回的字节长,以明确是否成功。一般来说,暴力破解有三种形式:通过暴力破解密码的固定帐户。当知道账户有规律,或通过某种方式获得大量账户信息时,固定密码就会对账户开展暴力破解。利用网络上流传的帐号密码库开展碰撞攻击。
通常情况下,攻击者会使用自动脚本将普通用户名和密码,即字典,与软件burpsuite的intruder功能紧密结合,开展暴力破解。以下是一些预防暴力袭击的方法:
一是帐户锁定。帐户锁定是一种非常有效的方法,因为通过5-6次的探查,暴力破解程序猜出密码的可能性非常小。但同时也不允许普通用户使用。如果成功地将用户名探测设置为攻击者的探测行为,则会导致严重的拒绝服务攻击。探测帐户锁定无效,只能使用一个密码探测大量用户名。假如已经锁定的帐号没有返回信息,可能会让攻击者感到困惑。
二、返回信息。假如无论结果如何都返回成功的信息,破解软件将停止攻击。但对于人们来说,它很快就会消失。
三、页面跳跃。当出现登录错误时,跳到另一页要求重新登录。例如,第126号和校内网就是如此。限制是不能一直跳页,通常只在第一次出现错误时才开展跳转,但在第一次出现后,仍然可以继续使用暴力检测。
四、适当延迟时间。在查看密码时适当地插入一些停顿,可以减缓攻击,但也会对用户产生一些影响。
封堵IP地址多次登录。这个方法也有缺点,因为攻击者可以在一定时间内更换IP。