暴力破解攻击指通过系统性地尝试可能的字符或数字组合,猜测密码或用户名,从而未授权访问帐户。
暴力破解攻击是指通过系统性地尝试字母、数字和符号的组合来找到密码,从而通过身份验证和授权控制,其往往会利用单词字典以及“密码喷洒”等策略。
暴力破解攻击(也称为密码破解)背后的逻辑非常简单:输入所有可能的密码模式。例如,如果使用四位数的 PIN 作为密码(通行码),则尝试从“0000”到“9999”的全部 10000 种密码组合,最终会得到正确的答案。虽然人类很难手动进行这种穷举,但使用自动化工具就轻而易举。若您每秒尝试一个密码,在最多 10000 秒(约 2 小时 47 分钟)内就可以找出密码。尽管暴力破解攻击并不是一种特别先进的网络攻击形式,但由于其对弱密码和安全性差的系统有效,因此持续存在,并且由于可通过自动化工具包以较低的成本扩展和执行,因此对攻击者具有吸引力。
暴力破解攻击的形式有很多种。简单暴力破解攻击会系统性地尝试每一种可能的数字或字符组合,直至找到正确的组合。这种方法可能耗费大量时间和资源(对于较长或较复杂的密码或密码短语尤其如此)。
字典攻击技术则更具针对性,它依赖于预先定义的可能密码和短语列表。与尝试每一种可能的数字或字符组合的传统暴力破解攻击不同,攻击者会系统性地尝试字典中的每个单词或短语,直至找到正确的密码。虽然字典攻击比简单暴力破解攻击更快,但如果密码足够复杂、使用了特殊字符或不在所用的字典中,这种方法仍然可能失败。此外,在同一个登录提示中使用字典攻击会迅速触发速率限制和帐户锁定控制机制。
混合暴力破解攻击融合了字典攻击和简单暴力破解攻击的要素。进行混合攻击时,攻击者会像传统暴力破解攻击那样使用一系列随机字符,也会像字典攻击一样使用常见单词和短语列表。这种混合方法同时利用了字典中的常见密码和难以预测的字符组合,可提高破解成功的可能性。
另一种攻击形式是反向暴力破解攻击。攻击者不是对特定帐户连续尝试各种密码,而是针对大量帐户用户名使用其认为可能常用的特定密码(例如“password1234”)。这种方法依赖于至少有部分目标帐户使用了所选密码的假设,并且不太可能因登录失败次数过多而触发防范措施。
撞库攻击通常不被视为一种暴力破解攻击(因为攻击者已经掌握了一份已知用户名和密码列表),但其目的同样是未授权访问帐户,随后往往伴随着帐户接管 (ATO) 和欺诈行为。撞库攻击依靠自动脚本或工具,将大量被盗凭证(例如从以前的数据泄露或暗网中获得的用户名/密码组合)快速应用于各种在线登录表单。虽然撞库攻击不会像暴力破解攻击一样彻底测试所有可能的组合,但同样是一种尝试进行未授权访问的自动化方法,因此成为了一项重大安全威胁。这两种类型的攻击都被 OWASP 十大风险和 OWASP 自动化威胁项目视为顶级风险。
身份验证薄弱或失效是暴力破解攻击者的另一种入侵手段。一些身份验证系统没有采用锁定或节流机制限制一定时间内的登录尝试次数。如果没有这些保护措施,攻击者就可以不受限制地反复尝试猜测密码,从而导致暴力破解攻击的成功率增加。
暴力破解攻击还可用于猜测会话 ID 或利用会话管理机制的缺陷获取或劫持有效的会话 ID。攻击者一旦获取了有效的会话 ID,就可以使用该 ID 冒充经过验证的用户,未授权访问受保护资源。
促使黑客展开暴力破解攻击的动机可能千差万别,但一般都涉及出于恶意目的未授权访问系统、网络或帐户。
常见动机包括谋取经济利益,例如攻击者可能试图窃取信用卡号和银行账户凭证等财务信息,以实施欺诈或盗窃。他们还可能以获取可出售的个人身份信息 (PII)、知识产权和机密业务数据为目标。攻击者也可能是希望获取个人帐户的访问权限,从而冒充他人展开欺诈活动。
犯罪分子还可通过劫持系统,实施其他形式的恶意行为,例如组织僵尸网络。僵尸网络是由攻击者控制的设备组成的网络,攻击者协调这些多个来源的设备,发起分布式拒绝服务 (DDoS) 攻击。
通过暴力攻击对系统和帐户进行未授权访问,还可以传播恶意软件或间谍软件,或针对网站发动攻击,使其中充斥淫秽或冒犯性的文本和图像,从而对公司或网站的声誉造成威胁。黑客还可以通过暴力破解攻击利用广告或活动数据,通过未授权的访问在网站上放置垃圾广告,以赚取广告佣金,或将流量从目标网站重定向至恶意网站,以窃取凭证或欺诈用户。
有几种方法可以降低暴力破解攻击的风险,实施以下多项措施将使攻击者更难通过反复尝试登录猜测密码或进行未授权访问。这些措施包括:
OWASP(开放式全球应用安全项目)的 Web 应用自动化威胁项目将暴力破解攻击视为一种凭证破解攻击 (OAT-007)。F5 提供的解决方案可应对多种 OWASP 自动化风险。F5 Distributed Cloud Bot Defense 解决方案可阻止机器人和恶意自动化行为,从而防止 ATO 及由此产生、可绕过现有机器人管理解决方案的欺诈和滥用行为。Distributed Cloud Bot Defense 可提供实时监控和情报,以及基于机器学习的回顾性分析,可保护组织免受自动化攻击(包括采用了暴力破解技术的攻击)的威胁。
F5 Web 应用防火墙 (WAF) 解决方案还可阻止和抑制 OWASP 确定的各种风险。F5 WAF 解决方案结合了签名和行为保护,包括来自 F5 Labs 的威胁情报和基于机器学习的安全措施,从而有效防范新兴威胁。为了防范暴力破解攻击,WAF 会跟踪尝试访问已配置登录 URL 的失败次数。当检测到暴力破解攻击模式时,如登录失败率显著增加或登录失败次数达到最大阈值,WAF 策略就会将其视为攻击。
将 F5 WAF 解决方案与 F5 Bot Defense 解决方案集成,即可针对漏洞利用和自动暴力破解攻击等顶级安全风险,提供完善抑制措施。