什么是暴力破解攻击？

暴力攻击可以采取多种形式。 简单的暴力攻击包括系统地尝试所有可能的数字或字符组合，直到找到正确的组合。 这种方法可能非常耗时且耗费资源，尤其是对于较长或更复杂的密码或密码短语。

一种更有针对性的技术是字典攻击，它依赖于预定义的可能的密码或短语列表。 攻击者不会像传统的暴力破解攻击那样尝试所有可能的数字或字符组合，而是系统地尝试字典中的每个单词或短语，直到找到正确的组合。 虽然字典攻击比简单的暴力攻击更快，但如果密码足够复杂、使用特殊字符或未包含在所使用的字典中，则仍然容易失败。 此外，对相同的登录提示使用字典攻击将快速触发速率限制和帐户锁定控制。

混合暴力攻击结合了字典攻击和简单暴力攻击的元素。 在混合攻击中，攻击者将使用一组随机字符（如传统的暴力破解攻击）以及一组常用单词和短语（如字典攻击）。 这种混合方法利用字典中的常用密码和不太可预测的字符组合来增加成功的可能性。

另一种攻击形式是反向暴力破解攻击。 攻击者不会尝试为特定帐户连续设置不同的密码，而是针对大量帐户用户名使用他们认为可能常用的特定密码（例如“password1234”）。 该方法依赖于这样的假设：至少有一些目标帐户使用所选密码，并且不太可能根据登录尝试失败的次数触发缓解措施。

尽管 撞库攻击 通常不被视为一种暴力破解攻击（攻击者已经拥有已知的用户名和密码列表），它的目的是获取对帐户的未授权访问，通常会伴随帐户接管（ATO）和欺诈。 撞库攻击依赖于自动脚本或工具，在各种在线登录表单上快速应用大量泄露的凭证，例如从以前的数据泄露或暗网中获取的用户名/密码组合。 虽然撞库攻击并不像暴力攻击那样对所有可能的组合进行详尽测试，但它仍然是一种尝试未授权访问的自动化方法，因此构成重大的安全威胁。 这两种类型的攻击都被视为OWASP Top 10和OWASP 自动威胁项目中的最大风险。

弱身份验证或损坏的身份验证是暴力攻击者的另一种入侵手段。 一些身份验证系统不实施锁定或限制机制，从而限制一定时间段内的登录尝试次数。 如果没有这些保护措施，攻击者可以不受任何限制地反复尝试猜测密码，从而增加了暴力破解攻击成功的可能性。

还可以使用暴力攻击来猜测会话 ID 或利用会话管理机制中的弱点来获取或劫持有效的会话 ID。 一旦攻击者获得有效的会话 ID，他们就可以使用它来冒充经过身份验证的用户并获得对受保护资源的未授权访问。

促使黑客进行暴力攻击的动机可能千差万别，但通常涉及出于恶意目的获取对系统、网络或帐户的未授权访问。

一些常见的动机包括金钱利益，例如攻击者可能试图窃取财务信息（例如信用卡号或银行凭证）来实施欺诈或盗窃。 他们还可能瞄准可出售的个人身份信息 (PII)、知识产权或机密商业数据。 攻击者还可以访问个人账户，冒充个人并从事欺诈活动。

犯罪分子还可以劫持系统以实施其他形式的恶意行为，例如组织僵尸网络，即由攻击者控制的设备网络，攻击者协调这些多个来源并发起分布式拒绝服务 (DDoS) 攻击。

通过暴力攻击未授权访问系统和帐户还会传播恶意软件或间谍软件，或针对网站发起攻击，在网站上植入淫秽或攻击性的文字和图片，威胁公司或网站的声誉。 黑客还可以使用暴力攻击来利用广告或活动数据，利用未授权访问在网站上投放垃圾广告以获取广告佣金或将流量从目标网站重新路由到恶意网站以窃取凭据或欺骗用户。 

OWASP （开放式全球application安全项目）的 Webapplications自动威胁项目将暴力攻击确定为一种凭证破解攻击（OAT-007） 。 F5 提供解决方案来解决 OWASP 的许多自动化风险。 F5 分布式云机器人防御可阻止机器人和恶意自动化，以防止 ATO 以及可能绕过现有机器人管理解决方案的欺诈和滥用。 分布式云机器人防御提供实时监控和情报以及基于机器学习的回顾性分析，以保护组织免受自动攻击，包括采用暴力技术的攻击。

F5 Webapplication防火墙 (WAF) 解决方案还可以阻止和缓解 OWASP 发现的各种风险。 F5 WAF 解决方案结合签名和行为保护，包括来自 F5 实验室的威胁情报和基于 ML 的安全性，以跟上新兴威胁。 为了防止暴力攻击，WAF 会跟踪访问配置的登录 URL 的失败尝试次数。 当检测到暴力破解模式时，如果登录失败率显著增加或登录失败次数达到最大阈值，WAF 策略会将其视为攻击。

F5 WAF 解决方案与 F5 机器人防御解决方案集成，为包括漏洞利用和自动暴力攻击在内的顶级安全风险提供强大的缓解措施。