什么是暴力破解

暴力破解 (Brue Force) 是一種攻擊方法 (窮舉法)，簡稱為“爆破”，黑客通過反復猜解和實驗，旨在以暴力手段登入、訪問目標主機獲取服務，破壞系統安全，其屬于 ATT&CK技術中的一種，常利用猜測、破解、噴灑、撞庫四種子技術實現，經常作為其他漏洞攻擊的載體

四項技術

密碼猜測

在不了解系統環境的情況下，攻擊者通過常見密碼字典來猜測密碼，并嘗試登錄

密碼破解

在獲取到加密的憑證材料 (Hash值) 后，將憑據恢復為純文本密碼

密碼噴酒

使用少量密碼或常見的密碼列表，獲取有效賬戶憑據

撞庫

通過收集歷史泄露數據以獲得憑據 (數據庫) ，利用自動化工具嘗試登錄到其他網站

兩種方式

遠程通訊法

確定攻擊目標，使用暴力枝舉等方武獲取可供登錄的賬號，再通過字典或特定規則生成測試密碼，以多進程的方式建立通信，發送并檢測是否通過

本地破解法

把獲取到的加密密碼保存到本地。再將本地生成的賬號和密碼以同樣的算法加密并進行比對

漏洞原理

理論上，大多數的系統都是可以暴力破解的，在日益增長的互聯網網站基數下web網站沒有采用，或者采用了較弱的安全策略認證機制，導致密碼很可能被猜出。攻擊者通過計算機強大的計算能力，對字典中的內容逐一嘗試，直至匹配到正確的口令或密碼。即使是新手也可以破壞數據并削弱大公司的系統。

產生原因

人為因素的影響，服務器端未采取完備的認證機制。

猜

暴力破解工具

Hydra是一個并行登錄破解程序，支持多種協議攻擊。使用簡單快捷，且易于添加新模塊它支持:FTP，HTTPS，IMAP,LDAP,MySOL,SMTP，SOCKS5,SSH(v1和v2)， SSHKEY,Telnet.VMware-Auth、XMPP等多種協議和服務的破解

暴力破解目標

目標：子域名、加密算法、用戶名和密碼、API密鑰或令牌、文字或圖形驗證碼、網站目錄

常見的防御策略

一、使用強密碼

讓用戶注冊的密碼滿足一定的復雜度要求，同時保證用戶更改密碼不應。是最近使用過的密碼。增大黑客破解密碼的難度。

二、錯誤次數限制

限定用戶的密碼錯誤輸入次數，在達到限定次數后鎖定登錄入口，需要管理員解鎖。

三、雙重驗證

雙重認證 (2FA) 即通過私密信息個人物品和生理特征其中兩項因素來驗證用戶的身份。

四、密碼期限

對密碼的使用期限做限制，使密碼的最長期限小于密碼算法暴力破解所需的最短時間。

暴力破解的危害

1.數據泄露

成功的暴力破解攻擊可能導致用戶賬戶、敏感信息、個人資料和機密數據的泄露，就曾遭遇過撞庫攻擊，導致大量賬戶信息泄露。

2.信任危機

攻擊者通過獲取到的憑證登錄用戶，發布虛假信息，竊取資金，導致用戶對網站的信用度降低。

3.服務中斷

大規模的暴力破解會使系統，應用程序和網絡負載過重，嚴重時導致服務中斷，導致DOS或DDOS攻擊