本文介绍了暴力破解法的基本概念,包括穷举法、排列组合、字典破解及其在web应用中的角色。强调了设置复杂密码的重要性,并推荐了Kali中的暴力破解工具burpsuite和hydra。最后提到了防范暴力破解的简单措施和网络安全学习资源。
暴力破解法(Brute Force)又被称为穷举法,是一种密码分析的方法,即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试9999次就能找到正确的密码。理论上除了具有完善保密性的密码以外,利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来增加效率,有些人辅以字典来缩小密码组合的范围。
暴力破解一般来说有三种方式:
-
排列组合:将数字、大写字母、小写字母、各种特殊字符排列组合,若是在不知道密码的长度情况下需要更多的逐渐增多位数,这样的运算量非常的大,这种方法需要高性能的破解算法和CPU/GPU做支持。
-
字典破解:通过社会工程学与人们常用的密码建立破译字典,然后逐个尝试。
-
排列组合+字典破解:两种方式的结合,增大破解的几率
从暴力破解的方式我们就可以看出来,他有一个简单、通俗易懂的名字,叫做:猜。一个个试,总有一天可以试出来,因为大小写字母、数字、特殊符号的个数是有限的,他们的排列组合也是有限的,只是特别多而已。
这样的方式在遇到弱口令是十分有效的,例如简单的 123456、电话号码、abcde。
所以只要密码设置的足够长,足够复杂便可以防范暴力破解这样的攻击方式。
暴力破解在 web 应用中主要用于用户登陆环节的破解,例如网页端的登陆、QQ、邮件、FTP、VNC、Telnet 等等。
可以看到这样的方式是非常消耗时间,穷举就是一种以时间换结果的一种方式。所以主要在两个时候使用:
-
攻击初期:尝试管理员用户的登陆密码是否为弱口令,或者是默认用户名密码。若是得到管理员用户名密码后面的攻击将会简单许多。
-
攻击末期:很难找到对方的漏洞与逻辑薄弱点,就只能尝试暴力破解。
在 Kali 中有两个暴力破解的工具很受人的喜爱:
-
burpsuite:拥有 web 界面,功能非常齐全,从代理到扫描、爬虫、修改发送数据包等等。总的来说:简单、易用、功能全。
-
hydra:著名黑客组织 thc 的一款开源的暴力破解工具,主要对需要网络登录的系统进行快速的字典攻击,包括 FTP、POP3、IMAP、Netbios、Telnet、HTTP Auth、LDAP NNTP、VNC、ICQ、Socks5、PCNFS 等协议!
这两个工具,你们可以自己去安装使用,网上都有教程,我这里只是讲一下原理而已。
不断通过尝试字典值,判断返回值从而查看是否破解成功
我们可以看到其实就是用户名与密码不断的尝试匹配的结果。
暴力破解的原理很简单,但是不同工具使用不同的算法机制,使用不同的字典所带来的效率是不同的。
所以暴力破解是万不得已的做法,效率太低,而且破解成功的几率不高。
同时防范暴力破解方法十分简单,将密码设置的尽量长,尽量复杂,同时包含有大小写字母、数据、特殊符号。对于开发人员,所有的组件尽量不要使用默认的账户与密码。
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
