Атака брутфорс. Как предотвратить?

08.05.2014 0 Автор GodKnowses

Атака брутфорс . Как предотвратить?

брутфорсСамая распространённая угроза, с которой сталкиваются владельцы веб-ресурсов, это атака подбором пароля к аккаунту администратора, более известная как атака брутфорс . Атака брутфорс на деле – это систематический подбор всевозможных комбинаций к нашему паролю. Если сайт или блог требует ввод логина и пароля, то он является потенциальной жертвой хакера. Атака брутфорс при прочих равных условиях является 100% выполнимой, но одной из главных отрицательных сторон этого метода взлома является срок исполнения. Да, на угадывание пароля могут уйти годы. В зависимости от сложности пароля, он может составлять триллионы комбинаций, но для владельцев сайта такая атака всегда является флудом, а удачные попытки взлома пароля скорее удача для хакера, который проник внутрь ресурса лишь благодаря безалаберности администратора. Такие атаки легко определяются, но предотвратить их невозможно. Например, запрет конкретного IP-адреса в ответ на повторяющиеся попытки зарегистрироваться легко обходятся хакером с помощью использования прокси-серверов, и блокирование атакующего IP-адреса малоэффективно.

Как предотвратить атаки брутфорс ?

Самый простой вариант – элементарно заблокировать возможность входа в учётную запись после определённого числа неудачных попыток подбора пароля. Можно задать условия неверного ввода пароля (временной промежуток, скажем, 15 минут) и блокировка аккаунта до того момента, когда сам администратор лично не разблокирует. Однако политика блокирования учётной записи администратора не самый благоприятный вариант, так как

  • Хакером может быть предпринята DDoS-атака, блокирующая большое количество учётных записей
  • Заблокированными окажутся только реальные (валидные) точки входа в учётную запись. Этим можно воспользоваться, набрав целый список зарегистрированных пользователей, в ответ на ошибочный вход в их учётные записи.
  • Возможна блокировка учётных записей и, соответственно, флуд в сторону службы поддержки
  • Хакер может не прекращать попытки взлома аккаунта, даже в случае разблокировки учётной записи администратора, тем самым продолжая блокировку записи.
  • Хакер может хитрить и пробовать на прочность пароль одних входом в час  или даже реже

Таким образом, автоблокировка учётной записи будет эффективна лишь в случае пристального наблюдения за происходящим со стороны администратора лично. И в большинстве случае от DDoS-атаки она не спасает.

Раз уж мы убедились в недостаточности описанных выше мер, что ещё можно предпринять против потенциальной угрозы DDoS-атаки? Так как DDoS-атака имеет в своей реализации зависимость от времени её исполнения, самым простым вариантом можно было бы назвать использование произвольных временных промежутков при проверке набранного пароля и логина к учётной записи. Пары секунд задержки после удачной попытки законный пользователь не заметит, но для бруфорса это может оказаться фатальным. Но это произойдёт лишь в случае одноканальной попытки взлома. Если хакер отсылает несколько синхронных запросов, задержку во времени можно также легко обойти.

Что ещё можно предпринять или защита от атаки брутфорс .
Об одной из возможностей предотвратить вторжение атаки брутфорс говорилось в начале предыдущей статьи. Речь идёт о блокировке IP-адреса, с которого зафиксированы неудачные попытки войти в систему.  Но проблема для хакера решается использование целого листа прокси-серверов, которые отсылают лишь несколько запросов с одного и того же IP, меняя затем адрес на другой. Вот один из таких списков:

http://tools.rosinstrument.com/proxy/

Немногие из сайтов блокируют менее двух-трёх попыток, следовательно,  хакер может настроить атаку с помощью нескольких подборов на один прокси. Обладая списком в несколько тысяч дееспособных прокси-серверов, хакер может успешно попробовать до десятка тысяч вариантов и при том всём не быть пойманным. Шансы небольшие, но есть. И некоторые из ресурсов, которые нередко подвергаются таким атакам, стараются распознавать и запоминать IP-адреса прокси-серверов и сразу отсеивают их (отправляют в бан).

Один из неожиданно результативных вариантов типа ” защита от атаки брутфорс ” оказалась простая настройка сервера на неверную попытку подбора пароля на вариант, когда в случае неправильного варианта пароля или логина пользователь не возвращается на ту же страницу авторизации, а попадает на страничку ошибки (знаменитая Ошибка 404 или 401 ). Эту настройку можно перехитрить. Потому можно к настройкам сайта добавить генерацию различных надписей при неправильных логине или/и пароле.

Некоторые автоматизированные брутфорс-утилиты позволяют хакерам  учитывать появление поля «неверное имя пользователя или пароль», и позволяют хакеру подбирать следующую комбинацию. Простейший способ обмануть такую утилиту – заставить после двух-трёх неудачных попыток авторизующегося пользователя ответить на дополнительные вопросы (например, секретный вопрос). Это задачу хакеру значительно усложнит, и попытка взлома останется безуспешной даже при верно подобранной комбинации логина и пароля.

Ещё немного уловок о том, как осуществляется защита от атаки брутфорс.

  • Продвинутый администратор может выставить условием входа в учётную запись только попытку входа с конкретного IP-адреса.
  • Используйте капчу
  • Комбинируйте все описанные варианты. Всё это не обеспечит стопроцентную защиту, но задачу хакеру значительно усложнит.

Подведём итоги анализа перечнем возможных  показателей того, что ваш сайт подвергся атаке.

  • С одного IP-адреса зафиксировано множество неудачных попыток регистрации
  • На одну и ту же запись (администратора) пытаются «пробиться» сразу с  множества IP-адресов
  • Почти всегда эти попытка/попытки сопровождаются одновременно неверными паролем и логином
  • Неверные попытки подбора в алфавитном порядке
  • Обратная ссылка с адреса пользователя похожа на http://user:пароль@www.что-то-там.com/логин.htm

Вывод таков: манипулируя различными настройками на сервере или ресурсе можно максимально усложнить задачу хакеру, который, будем надеяться, оставит попытки проникнуть в вашу учётную запись.

Успехов