یکی از حملات رایج که توسعه دهندگان با آن روبرو هستند، Brute-Force Attack میباشد. در این حملات برای کشف رمزعبور کاربران، هر ترکیب احتمالی از حروف، اعداد و نمادها را استفاده میکنند تا یک ترکیب صحیح را بدست آورند. اگر وب سایت شما نیاز به احراز هویت دارد، شما یک هدف مناسب برای حملات Brute-Force هستید! یک هکر میتواند رمزعبور را از این طریق بدست آورد؛ اما یافتن آن شاید سالها طول بکشد که بستگی به طول رمز و پیچیدگی آن، ممکن است چندین سال طول بکشد. اما یک حمله Brute-Force میتواند سریعتر انجام شود، میتواند از فرهنگ لغت استفاده کند و یا کلمات فرهنگ لغت را کمی تغییر دهد، زیرا بیشتر افراد بجای یک کلمهی عبور تصادفی و پیچیده، از آن کلمات استفاده میکنند. به این حملات dictionary attacks یا hybrid brute-force attacks نیز گفته میشود. این حملات حسابهای کاربران را در معرض خطر قرار میدهد و باعث افزایش ترافیک غیرضروری سایت شما میشود.
هکرها از ابزارهای گستردهای که لیست کلمات و قواعد هوشمندانهای را دارند استفاده میکنند تا به طور هوشمندانه و به طور خودکار، کلمههای عبور کاربران را حدس بزنند. اگرچه شناسایی چنین حملاتی آسان است، اما جلوگیری از آن کار آسانی نیست. به طور مثال برخی از ابزارهای HTTP brute-force میتوانند درخواستها را از طریق پروکسیهای باز سرور انجام دهند و از آنجا که هر درخواست از یک IP متفاوت میرسد، نمیتوانید با مسدود کردن IP، حملات را مسدود کنید. حتی برخی از ابزارها برای هر بار درخواست، یک نام کاربری و یک کلمه عبور را امتحان میکنند و شما نمیتوانید هر حساب کاربری را برای یک بار عملیات ناموفق مسدود کنید.
مسدود کردن حسابها
بدیهیترین راه برای جلوگیری از این حملات، مسدود کردن حسابها پس از تعداد مشخصی تلاش ناموفق است. مسدود شدن حسابها میتواند مدت زمان خاصی داشته باشد و یا اینکه حسابها باید توسط ادمین سایت فعال شوند. با این وجود، مسدود کردن حسابها همیشه بهترین راه برای جلوگیری از این حملات نیست؛ زیرا شخصی میتواند به راحتی از قوانین سوء استفاده کرده و تعداد زیادی از حسابها را مسدود کند. برخی از مشکلات مربوط به این راه عبارت اند از:
-
یک مهاجم میتواند تعداد زیادی از حسابها را مسدود کند.
-
به دلیل اینکه شما نمیتوانید حسابی را که وجود ندارد، مسدود کنید و فقط حسابهای معتبر قفل میشوند، یک مهاجم با استفاده از پاسخ خطای مربوط به مسدود شدن حساب کاربری میتواند از اینکار برای برداشتن نام کاربری استفاده کند.
-
یک مهاجم میتواند با مسدود کردن تعداد زیادی از حسابها و جاری شدن تماسهای پشتیبانی برای بازیابی حساب، باعث انحراف آنها شود.
-
یک مهاجم میتواند به طور مداوم یک حساب کاربری را مسدود کند، حتی چند ثانیه بعد از آنکه ادمین سایت آن حساب را فعال کند، مجددا به مسدود کردن آن اقدام کند.
-
مسدود کردن حسابها برای حملاتی که کند هستند و هر ساعت فقط چند رمز عبور را امتحان میکنند، بی تاثیر است.
-
مسدود کردن حسابها در برابر حملاتی که یک رمز عبور را در برابر لیستی از نام کاربری امتحان میکنند، بی تاثیر است
-
مسدود کردن حسابها در برابر حملاتی که از لیستی از کلمه عبور/نام کاربری استفاده میکنند و در اولین بار به طور صحیح حدس میزنند بی تاثیر است.
مسدود کردن حسابها گاهی اوقات تاثیرگذار است؛ اما در محیطهای کنترل شده. با این حال در بیشتر موارد مسدود کردن حسابها برای متوقف کردن حملات brute-force کافی نیست. به عنوان مثال یک سایت حراجی را در نظر بگیرید که چندین داوطلب برای یک کالا در حال مسابقه هستند. اگر وبسایت حراجی حسابها را مسدود کند، یک پیشنهاد دهنده میتواند در لحظات آخر نسبت به مسدود کردن حسابهای دیگران اقدام کند و مانع از ارائه هرگونه پیشنهادی شود و خود برنده شود. یک مهاجم میتواند از همین تکنیک برای مسدود کردن معاملات حساس مالی و ... اقدام کند.
اقدامات متقابل
همانطور که توضیخ داده شد، مسدود کردن حسابها یک راه کامل برای مقابله با این حملات نیست. اما ترفندهای دیگری نیز برای مقابله با این حملات وجود دارند. از آنجا که موفقیت این حملات به زمان بستگی دارد، یک راه حل آسان، تزریق مکثهای تصادفی هنگام چک کردن رمز عبور است. افزودن مکث حتی چند ثانیهای میتواند یک حمله را بسیار کند نماید؛ اما بیشتر کاربران را هنگام ورود به سایت، ناراحت نمیکند. توجه داشته باشید اگرچه اضافه کردن تاخیر میتواند یک حمله single-thread را کند، کند اما اگر مهاجم چندین درخواست را همزمان ارسال کند، کمتر موثر است.
راه حل دیگر مسدود کردن یک IP با چند عملیات ناموفق است. اما مشکل این راه حل آن است که شما سهوا گروههایی از کاربران را بلاک میکنید؛ مانند بلاک کردن یک پراکسی سرور که توسط یک ISP استفاده میشود. مشکل دیگر این راه حل استفادهی بسیاری از ابزارها از لیستی از پراکسیها است و با هر IP، دو یا سه درخواست را ارسال میکنند و سپس به دنبال بعدی میروند. یک مهاجم میتواند به این طریق به راحتی فرآیند مسدود کردن IP را دور بزند. بیشتر سایتها حسابها را بعد از یک عملیات ناموفق، مسدود نخواهند کرد؛ به همین دلیل یک مهاجم میتواند از هر پراکسی، دو یا سه درخواست را امتحان کند. یک هکر با داشتن لیستی از 1000 پراکسی میتواند 2000 یا 3000 کلمه عبور را امتحان کند؛ بدون مسدود شدن حسابها.
یک راه حل ساده در عین حال موثر آن است که رفتار وب سایت خود را برای پاسخ به عملیات ناموفق ورود به سایت، درست طراحی نکنید. برای مثال اکثر وب سایتها کد "HTTP 401 error" را برای کلمه عبور اشتباه میفرستند. اگرچه بعضی وب سایتها کد "HTTP 200 SUCCESS" را برمیگردانند، اما کاربر را به صفحهای هدایت میکند و توضیح میدهد که رمز عبور را اشتباه وارد کرده است، این کار برخی سیستمها را فریب میدهد اما دور زدن آن نیز راحت است. یک راه حل بهتر آن است که هر بار از پیامهای خطای مختلفی استفاده کنید و یا گاهی به کاربر اجازه رفتن به یک صفحه را بدهید و دوباره کاربر را وادار به وارد کردن رمز عبور نمایید.
بعضی از ابزارها این امکان را دارند تا مهاجم یک رشته را وارد کند تا به دنبال آن باشند که نشان میدهد عملیات ورود ناموفق بوده است. به عنوان مثال اگر صفحهای شامل عبارت "Bad username or password" باشد، به معنای آن است که عملیات ناموفق بوده است و نام کاربری و یا کلمهی عبور بعدی را امتحان میکند. یک راه ساده برای مقابله با این راه این است که از عبارتهایی استفاده کنیم که در هنگام ورود موفق استفاده میشوند.
بعد از دو یا چند تلاش ناموفق، کاربر را وادار به پاسخ دادن به یک سؤال مخفی کنید. این کار نه تنها باعث اختلال در حملات خودکار میشود بلکه از دسترسی فرد مهاجم جلوگیری میکند؛ حتی اگر نام کاربری و رمز عبور را درست وارد کرده باشد.
سایر تکنیک هایی که میتوانید در نظر بگیرید عبارتند از:
-
برای کاربران مهم که میخواهند از حساب خود در مقابل این نوع حملات جلوگیری کنند، به آنها این امکان را بدهید که بتوانند فقط از IP خاصی وارد سیستم شوند.
-
برای جلوگیری از حملات خودکار، از captcha استفاده کنید.
-
بجای قفل کردن حساب کاربری، آنرا در حالت قفل با دسترسی محدود قرار دهید.
هکرها اغلب میتوانند بسیاری از تکنیکها را به تنهایی دور بزنند. اما با ترکیب چندین حالت میتوانید این حملات را به میزان قابل توجهی کاهش دهید. اگرچه جلوگیری کامل از این حملات سخت است، اما تشخیص آن آسان است؛ زیرا با هربار ورود ناموفق، یک رکورد با کد HTTP 401 در لاگهای سرور ثبت میشود. این مهم است که لاگهای سرور خود را برای این نوع حملات نظارت کنید در شرایط خاص. کد 200 به آن معناست که مهاجم یک رمز عبور معتبر را پیدا کرده است.
شرایطی که میتوانند حملات brute-force یا سوء استفاده از یک حساب را نشان دهند:
-
تعداد زیادی ورود ناموفق از یک IP
-
تلاش برای ورود به سایت با چند نام کاربری از طرف یک IP
-
تلاش برای ورود به یک حساب کاربری از طرف چندین IP
-
تلاش برای ورود، با وارد کردن نام کاربری و کلمهی عبور، به ترتیب حروف الفبا
-
تلاش برای ورود، با نام کاربری یا کلمات عبوری مانند ownsyou,washere,zealots ,hacksyou یا مشابه آنها که هکرها معمولا از آنها استفاده میکنند
متوقف کردن این حملات دشوار است؛ اما با طراحی دقیق و اقدامات متقابل متعدد، میتوانید میزان قرار گرفتن در معرض این حملات را محدود کنید. درنهایت، بهترین راه جلوگیری این است که کاربران از قوانین اصلی رمزهای عبور قوی استفاده کنند؛ برای مثال از رمزهای عبور طولانی غیرقابل پیش بینی، اجتناب از کلمات فرهنگ لغت، جلوگیری از استفاده مجدد از گذرواژهها و تغییر گذرواژهها به طور منظم.