Атака брутфорс . Как предотвратить?
Самая распространённая угроза, с которой сталкиваются владельцы веб-ресурсов, это атака подбором пароля к аккаунту администратора, более известная как атака брутфорс . Атака брутфорс на деле – это систематический подбор всевозможных комбинаций к нашему паролю. Если сайт или блог требует ввод логина и пароля, то он является потенциальной жертвой хакера. Атака брутфорс при прочих равных условиях является 100% выполнимой, но одной из главных отрицательных сторон этого метода взлома является срок исполнения. Да, на угадывание пароля могут уйти годы. В зависимости от сложности пароля, он может составлять триллионы комбинаций, но для владельцев сайта такая атака всегда является флудом, а удачные попытки взлома пароля скорее удача для хакера, который проник внутрь ресурса лишь благодаря безалаберности администратора. Такие атаки легко определяются, но предотвратить их невозможно. Например, запрет конкретного IP-адреса в ответ на повторяющиеся попытки зарегистрироваться легко обходятся хакером с помощью использования прокси-серверов, и блокирование атакующего IP-адреса малоэффективно.
Как предотвратить атаки брутфорс ?
Самый простой вариант – элементарно заблокировать возможность входа в учётную запись после определённого числа неудачных попыток подбора пароля. Можно задать условия неверного ввода пароля (временной промежуток, скажем, 15 минут) и блокировка аккаунта до того момента, когда сам администратор лично не разблокирует. Однако политика блокирования учётной записи администратора не самый благоприятный вариант, так как
- Хакером может быть предпринята DDoS-атака, блокирующая большое количество учётных записей
- Заблокированными окажутся только реальные (валидные) точки входа в учётную запись. Этим можно воспользоваться, набрав целый список зарегистрированных пользователей, в ответ на ошибочный вход в их учётные записи.
- Возможна блокировка учётных записей и, соответственно, флуд в сторону службы поддержки
- Хакер может не прекращать попытки взлома аккаунта, даже в случае разблокировки учётной записи администратора, тем самым продолжая блокировку записи.
- Хакер может хитрить и пробовать на прочность пароль одних входом в час или даже реже
Таким образом, автоблокировка учётной записи будет эффективна лишь в случае пристального наблюдения за происходящим со стороны администратора лично. И в большинстве случае от DDoS-атаки она не спасает.
Раз уж мы убедились в недостаточности описанных выше мер, что ещё можно предпринять против потенциальной угрозы DDoS-атаки? Так как DDoS-атака имеет в своей реализации зависимость от времени её исполнения, самым простым вариантом можно было бы назвать использование произвольных временных промежутков при проверке набранного пароля и логина к учётной записи. Пары секунд задержки после удачной попытки законный пользователь не заметит, но для бруфорса это может оказаться фатальным. Но это произойдёт лишь в случае одноканальной попытки взлома. Если хакер отсылает несколько синхронных запросов, задержку во времени можно также легко обойти.
Что ещё можно предпринять или защита от атаки брутфорс .
Об одной из возможностей предотвратить вторжение атаки брутфорс говорилось в начале предыдущей статьи. Речь идёт о блокировке IP-адреса, с которого зафиксированы неудачные попытки войти в систему. Но проблема для хакера решается использование целого листа прокси-серверов, которые отсылают лишь несколько запросов с одного и того же IP, меняя затем адрес на другой. Вот один из таких списков:
http://tools.rosinstrument.com/proxy/
Немногие из сайтов блокируют менее двух-трёх попыток, следовательно, хакер может настроить атаку с помощью нескольких подборов на один прокси. Обладая списком в несколько тысяч дееспособных прокси-серверов, хакер может успешно попробовать до десятка тысяч вариантов и при том всём не быть пойманным. Шансы небольшие, но есть. И некоторые из ресурсов, которые нередко подвергаются таким атакам, стараются распознавать и запоминать IP-адреса прокси-серверов и сразу отсеивают их (отправляют в бан).
Один из неожиданно результативных вариантов типа ” защита от атаки брутфорс ” оказалась простая настройка сервера на неверную попытку подбора пароля на вариант, когда в случае неправильного варианта пароля или логина пользователь не возвращается на ту же страницу авторизации, а попадает на страничку ошибки (знаменитая Ошибка 404 или 401 ). Эту настройку можно перехитрить. Потому можно к настройкам сайта добавить генерацию различных надписей при неправильных логине или/и пароле.
Некоторые автоматизированные брутфорс-утилиты позволяют хакерам учитывать появление поля «неверное имя пользователя или пароль», и позволяют хакеру подбирать следующую комбинацию. Простейший способ обмануть такую утилиту – заставить после двух-трёх неудачных попыток авторизующегося пользователя ответить на дополнительные вопросы (например, секретный вопрос). Это задачу хакеру значительно усложнит, и попытка взлома останется безуспешной даже при верно подобранной комбинации логина и пароля.
Ещё немного уловок о том, как осуществляется защита от атаки брутфорс.
- Продвинутый администратор может выставить условием входа в учётную запись только попытку входа с конкретного IP-адреса.
- Используйте капчу
- Комбинируйте все описанные варианты. Всё это не обеспечит стопроцентную защиту, но задачу хакеру значительно усложнит.
Подведём итоги анализа перечнем возможных показателей того, что ваш сайт подвергся атаке.
- С одного IP-адреса зафиксировано множество неудачных попыток регистрации
- На одну и ту же запись (администратора) пытаются «пробиться» сразу с множества IP-адресов
- Почти всегда эти попытка/попытки сопровождаются одновременно неверными паролем и логином
- Неверные попытки подбора в алфавитном порядке
- Обратная ссылка с адреса пользователя похожа на http://user:пароль@www.что-то-там.com/логин.htm
Вывод таков: манипулируя различными настройками на сервере или ресурсе можно максимально усложнить задачу хакеру, который, будем надеяться, оставит попытки проникнуть в вашу учётную запись.
Успехов