本文从暴力破解/密码喷射的定义,暴力破解/密码喷射的流量数据包示例,暴力破解/密码喷射的suricata规则,暴力破解/密码喷射的告警研判,暴力破解/密码喷射的处置建议等几个方面阐述如何通过IDS/NDR,态势感知等流量平台的暴力破解/密码喷射类型的告警的线索,开展日常安全运营工作,从而挖掘有意义的安全事件。
暴力破解/密码喷射定义
暴力破解英文Brute-force attack,即通过尝试可能的密码组合来获取对账户密码,从而获取对于系统和数据的访问权限。暴力破解可以分为本地的暴力破解和远程的暴力破解,暴力破解通常借助自动化的工具,例如远程暴力破解工具包括hydra,本地的暴力破解工具包括hashcat,john the ripper。本文所指的主要是远程的暴力破解,因为远程的暴力破解会产生流量可以从网络侧识别。本地的暴力破解往往在攻击者本地完成,因此无论实在EDR还是NDR都缺乏有效的日志数据。
由于暴力破解会触发账户锁定机制,因此出现了密码喷射的攻击方法,即使用少量的常见密码或凭证,但针对大量的用户名进行登录枚举。白破解和密码喷射虽然都是利用了登录行为,但是其行为上还是存在这一定的差异。
前面的文章分析了弱口令相关的内容,见这里。那么弱口