亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于Hydra的遠程服務(wù)器密碼探測技術(shù)及防御措施研究

        2020-07-22 09:37:20徐國天中國刑事警察學院
        警察技術(shù) 2020年4期
        關(guān)鍵詞:解碼黑客報文

        徐國天 中國刑事警察學院

        引言

        互聯(lián)網(wǎng)上存在種類齊全、數(shù)量繁多的各類網(wǎng)絡(luò)服務(wù)器,如存儲文件資源的FTP服務(wù)器、存儲電子郵件的SMTP服務(wù)器、存放網(wǎng)站的Web服務(wù)器,存儲商品信息的數(shù)據(jù)庫服務(wù)器、完成域名轉(zhuǎn)換任務(wù)的DNS服務(wù)器等等。這些服務(wù)器是互聯(lián)網(wǎng)的關(guān)鍵組成元素,承擔了重要的職責,也是黑客攻擊的主要目標。攻擊者嘗試通過暴力探測的方式得到遠程服務(wù)器的登錄密碼,進而竊取其上存儲的敏感信息、篡改重要數(shù)據(jù)、種植木馬程序,甚至完全控制目標服務(wù)器。因此研究針對遠程服務(wù)器的密碼暴力探測攻擊方式及其防御措施對維護信息網(wǎng)絡(luò)安全、打擊此類違法犯罪活動有重要意義。

        “黑雨”是早期比較知名的一種遠程服務(wù)器密碼暴力探測工具,其設(shè)計思想如圖1(a)所示。它在一條TCP連接內(nèi)測試密碼字典中的所有密碼,直至找到正確的密碼或所有密碼測試一遍,未找到匹配密碼。在設(shè)計之初這款軟件取得了較大成功,成為最知名的遠程服務(wù)器密碼探測工具。但隨著服務(wù)器軟件版本升級,目前這種攻擊軟件已經(jīng)失效,原因如圖1(b)所示?,F(xiàn)有服務(wù)器軟件不允許在一條TCP連接內(nèi)測試大量密碼,幾個密碼登錄失敗之后,服務(wù)器會發(fā)出一個RST報文將這條TCP連接異常中斷。TCP連接中斷之后“黑雨”軟件自動結(jié)束運行,再次啟動后仍然是從密碼字典起始密碼開始測試,這導致“黑雨”軟件無法完成密碼探測任務(wù)。

        目前比較有效的遠程服務(wù)器密碼暴力探測工具是Hydra。Hydra一詞原指古希臘神話中的怪物“九頭蛇”,它天生九個頭,傳說哪個頭被砍掉后會立即生長出一個新的頭,因此被看作是不死的怪物。密碼暴力探測工具Hydra與怪物九頭蛇有共同的特征,它使用多條TCP連接進行密碼測試,某條連接被異常中斷之后會自動生成一條新的TCP連接,下文將對基于Hydra的遠程服務(wù)器密碼探測技術(shù)進行研究。

        一、基于Hydra的遠程服務(wù)器密碼探測技術(shù)

        Hydra運行后會生成多條TCP連接,每條TCP連接只測試幾個密碼,當服務(wù)器發(fā)出RST報文關(guān)閉這條TCP連接后,Hydra會自動生成一條新的TCP連接,從密碼字典中斷位置繼續(xù)測試任務(wù),直至所有密碼被測試一遍,或者找出了正確的登錄密碼。Hydra支持幾乎所有協(xié)議的在線密碼探測,密碼探測的關(guān)鍵在于是否具有一個強大的字典文件。

        二、HTTP-POST參數(shù)提交方式分析

        目前互聯(lián)網(wǎng)上各種類型的網(wǎng)站數(shù)量眾多、功能齊全,如電子商務(wù)站點、OA信息發(fā)布站點、網(wǎng)絡(luò)游戲站點、政府機關(guān)企事業(yè)單位的門戶網(wǎng)站等。這些站點均為用戶分配了相應(yīng)的賬戶信息,只有通過登錄認證之后,才可以瀏覽、使用相應(yīng)的資源。各類網(wǎng)頁中登錄密碼的探測成為黑客關(guān)注的焦點,一些中、小規(guī)模站點(如政府機關(guān)、企事業(yè)單位門戶網(wǎng)站)未設(shè)置驗證碼識別,同時未進行登錄次數(shù)限制,Hydra可以針對這類站點進行密碼探測。

        以HTTP-GET方式提交的參數(shù)會出現(xiàn)在客戶主機的瀏覽器地址欄中,一些敏感信息例如賬戶名、密碼等不適合采用這種方式提交。這些敏感信息通常以POST方式提交給Web服務(wù)器,下面舉例說明。

        如圖3所示,在上面的例子中,客戶首先向服務(wù)器發(fā)出一個GET請求報文,請求獲取“l(fā)ogin.html”。服務(wù)器通過一個HTTP應(yīng)答報文將“l(fā)ogin.html”返回給客戶??蛻糁鳈C的瀏覽器將“l(fā)ogin.html”解釋為一個登錄窗口,包含輸入用戶名、密碼的文本框和確定按鈕。

        客戶輸入用戶名、密碼,單擊確定按鈕之后,客戶機以HTTP-POST方式將賬戶信息發(fā)送給服務(wù)器端的“user.asp”?!皍ser.asp”使用Request.form()方法讀出用戶名(peter)和密碼(2480),然后通過一條Select數(shù)據(jù)庫查詢語句到User數(shù)據(jù)表中進行檢索,發(fā)現(xiàn)與第一條記錄匹配,于是“user.asp”將“peter”用戶的相關(guān)信息通過一個HTTP的應(yīng)答數(shù)據(jù)報返回給客戶。

        客戶提交給服務(wù)器的HTTPPOST請求報文如圖4所示。HTTP首部的第一行表明提交方式為POST,Referer參數(shù)表明在這之前客戶訪問了“l(fā)ogin.html”,客戶提交的賬戶信息包含在HTTP數(shù)據(jù)部分。

        三、Hydra探測網(wǎng)頁密碼設(shè)計思路分析

        用戶登錄網(wǎng)站存在成功和失敗兩種情況,這兩種情況下網(wǎng)站返回的應(yīng)答數(shù)據(jù)存在差別,Hydra在提交一組賬戶、密碼之后,通過檢測網(wǎng)站的返回數(shù)據(jù)可以確定登錄是否成功。因此使用Hydra探測網(wǎng)頁密碼的關(guān)鍵環(huán)節(jié)是提取出登錄成功和登錄失敗兩種情況下服務(wù)器應(yīng)答數(shù)據(jù)的區(qū)別,并將這種區(qū)別設(shè)置到Hydra軟件中,使其能夠識別不同情況。

        登錄失敗情況下的通信流程如圖5所示,首先Hydra模擬客戶提交了一組錯誤的賬戶、密碼數(shù)據(jù),服務(wù)器返回的第一個數(shù)據(jù)包是響應(yīng)代碼為100的HTTP-continue類型應(yīng)答報文。第二個報文是響應(yīng)代碼為200的HTTP-OK報文,在這個數(shù)據(jù)包中攜帶了一段Vbscript腳本,它的作用是彈出一個對話框,顯示內(nèi)容為ERROR,內(nèi)容長度為32個字節(jié)。登錄成功狀態(tài)下服務(wù)器返回的應(yīng)答數(shù)據(jù)中通常不會存在ERROR字符串,并且應(yīng)答報文的長度也不會是32字節(jié),因此這兩個數(shù)值可以嘗試作為區(qū)分登錄成功和失敗情況下的采集點。

        登錄成功情況下的通信數(shù)據(jù)如圖6所示,可見服務(wù)器返回的應(yīng)答數(shù)據(jù)中不存在ERROR字符串,并且應(yīng)答報文的長度也不是32字節(jié),進一步說明之前確定的采集點正確。Hydra只要識別出應(yīng)答報文中不存在ERROR或32字符串,即認定登錄成功,否則認定登錄失敗。

        并不是所有網(wǎng)頁密碼都可以使用Hydra進行探測,Hydra只能識別響應(yīng)代碼為200的HTTP-OK報文中攜帶的應(yīng)答數(shù)據(jù),而不能識別其它類型響應(yīng)代碼中的數(shù)據(jù)。圖7顯示的例子中,無論登錄成功與否,服務(wù)器均返回代碼為302的HTTP-Object moved應(yīng)答報文,這類網(wǎng)頁密碼就不能使用Hydra進行探測。

        使用Hydra探測網(wǎng)頁密碼的執(zhí)行流程如圖8所示。首先任意輸入一組賬戶信息,登錄網(wǎng)站,捕獲登錄失敗報文。如果應(yīng)答報文響應(yīng)代碼為302,則該站點不能進行密碼探測。

        如果黑客具有一組正確的登錄賬戶信息,則可以捕獲一組成功登錄數(shù)據(jù)報,通過比較成功和失敗情況下服務(wù)器返回的應(yīng)答數(shù)據(jù),可以準確計算出兩者的區(qū)別,獲得采集點。如果沒有合法賬戶信息,則需要估算采集點,例如可以將應(yīng)答報文的長度值作為采集點。最后使用密碼字典循環(huán)探測,直至探測成功,或結(jié)束測試。

        四、基于Hydra的遠程Web服務(wù)器密碼探測攻擊實例

        下面舉例說明使用Hydra探測網(wǎng)頁密碼。準備工作包括以Host-only方式啟動兩臺Windows虛擬機,一臺作為被攻擊的網(wǎng)站服務(wù)器,另一臺作為攻擊者使用的計算機,配置IP地址實現(xiàn)網(wǎng)絡(luò)通信,在服務(wù)器端安裝一個測試用網(wǎng)站。

        (一)在黑客主機端捕獲登錄失敗的通信數(shù)據(jù),確定采集點

        在黑客主機端訪問網(wǎng)站登錄頁面輸入一個真實存在的用戶名“jack”,密碼隨意輸入,點擊登錄。同時使用wireshark捕獲通信數(shù)據(jù)。在測試當中Wireshark會捕獲大量通信數(shù)據(jù),為了便于分析,可以將特定TCP數(shù)據(jù)流提取出來。方法如下:首先定位POST數(shù)據(jù)包,賬戶和密碼就包含在這類數(shù)據(jù)包中,單擊編輯,選擇查找數(shù)據(jù)幀,在過濾文本框中輸入POST,選擇在String中查找,單擊確定。在定位到的POST數(shù)據(jù)包上單擊鼠標右鍵,選擇“follow tcp stream”,可以提取出這條TCP通信流上傳遞的數(shù)據(jù)。

        提取出的TCP流數(shù)據(jù)如圖9所示,這里顯示的是每個數(shù)據(jù)包的應(yīng)用層內(nèi)容??梢源_定登錄頁面URL地址為“/356e/access.asp”,包含登錄用戶名和密碼的POST數(shù)據(jù)為“username=jack&password=123456&url=login.asp&imageField.x=20&imageField.y=3”,服務(wù)器返回的第二個應(yīng)答報文響應(yīng)代碼為200,確定數(shù)據(jù)采集點為95。這些信息主要用于后面的密碼探測。

        (二)生成字典文件

        這里使用名為Superdic的字典生成工具形成一個電話號碼字典文件。選擇基本字符集,由于電話號碼由數(shù)字組成,因此字符集選擇數(shù)字。

        (三)使用Hydra探測密碼

        這里使用7.4版Hydra進行密碼探測。如果在Win xp系統(tǒng)上使用8.1版Hydra,需要安裝Vc2005_x86。Hydra軟件的命令格式為:Hydra -l 用戶名-P字典文件-w超時間隔-t線程數(shù)-f-v 192.168.0.3 http-post-form “URL:賬戶數(shù)據(jù)格式:錯誤返回值”。相關(guān)參數(shù)可以從第一步的Wireshark分析結(jié)果中提取。

        形成的探測指令如下:hydra -l jack -P c:superdic.txt -f-v192.168.0.3 http-post-form "/356e/access.asp:username=jack&password=^PASS^&url=login.asp&imageField.x=24&imageFie ld.y=2:95"。顯示探測出的密碼為86982480,如圖10所示。

        五、密碼探測防御措施及其面臨的安全問題

        (一)采用行為驗證和無感驗證防止密碼探測

        為了防止惡意網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)刷單行為,早期采用圖形文字驗證碼或簡單的數(shù)學題等方式來識別提出訪問請求的是機器還是人類,理論基礎(chǔ)是“只有人類能識別圖像中的文字,完成數(shù)學運算”。但隨著人工智能的快速發(fā)展,機器已經(jīng)能夠準確識別圖像中的文字,完成簡單的算數(shù)運算。黑客可以采用人工方式或自動識別方式來獲取驗證碼。人工方式是密碼探測過程中,每測試一組密碼,將獲得的驗證碼圖片發(fā)給一個人工解碼員,人工解碼員使用手機等終端識別驗證碼,并將識別結(jié)果返回給黑客。這種方式下,黑客需要為人工解碼員支付服務(wù)費。人工解碼服務(wù)一般由另一伙黑灰產(chǎn)業(yè)集團經(jīng)營。自動解碼服務(wù)是黑客將圖片驗證碼發(fā)送給自動解碼系統(tǒng),解碼系統(tǒng)將識別結(jié)果返回給黑客主機。上述方式均可繞過圖文驗證碼這道安全屏障。

        短信驗證碼在一定程度上克服了圖文驗證碼存在的不足,用戶登錄時輸入手機號碼,只有正確提交平臺發(fā)出的短信驗證碼,才允許用戶登錄,這一措施比較有效地防止機器自動批量登錄平臺。但是短信驗證方式也可以人工自動解碼,還面臨著短信被攔截的風險。同時,對于用戶來說,每次登錄都要查看手機短信,也帶來不便捷的體驗。

        目前,無感驗證和行為驗證越來越多地應(yīng)用于網(wǎng)絡(luò)平臺的登錄驗證。無感驗證是通過采集用戶的屏幕滑動,鍵盤輸入等行為數(shù)據(jù),通過對這些數(shù)據(jù)進行統(tǒng)計分析來識別提交訪問請求的是機器還是人類,甚至能根據(jù)使用習慣識別出具體人員信息,目前已有比較成熟的無感認證產(chǎn)品。行為驗證主要有拖動式和點觸式驗證,拖動式就是提示用戶將滑塊拖動到指定位置,點觸式是根據(jù)提示信息,依次點擊圖片中的文字或數(shù)字,進而完成人機識別。在實際應(yīng)用當中,可以將行為驗證和無感驗證結(jié)合應(yīng)用,大量用戶可以通過無感驗證進行識別,對這部分用戶來說感覺不到驗證過程。無感驗證無法有效識別的部分登錄用戶,如新用戶或潛在的惡意用戶,可采用行為驗證方式加以判斷。這種結(jié)合的驗證方式在增強網(wǎng)絡(luò)防護的同時,也帶來了便捷的用戶體驗。

        (二)限制IP地址登錄失敗次數(shù)

        網(wǎng)絡(luò)服務(wù)器可以采用限制某一IP地址的登錄失敗次數(shù)來防止密碼探測,網(wǎng)上銀行普遍采用這一措施防止密碼探測。這種方法是限制客戶的登錄次數(shù),如客戶連續(xù)登錄失敗三次,則將賬戶鎖定24小時。銀行采用的安全限制比較嚴格,一般的Web服務(wù)器在用戶連續(xù)登錄失敗后,會將賬戶鎖定幾分鐘,之后用戶可以再次嘗試登錄。這樣一個簡單的防御機制可以有效解除密碼探測威脅。

        六、結(jié)語

        早期的探測技術(shù)是在一條TCP連接內(nèi)測試多組賬戶密碼對,隨著操作系統(tǒng)的升級和漏洞修補,這種方式已經(jīng)失效。Hydra采用的是在一條TCP連接內(nèi)只測試一組賬戶信息的方法,當這條TCP連接被異常阻斷之后,立即產(chǎn)生一條新的TCP連接繼續(xù)測試。這種方式對一些中小規(guī)模Web、FTP、郵件服務(wù)器和網(wǎng)站系統(tǒng)比較有效,但當網(wǎng)站采取了圖片驗證碼、錯誤登錄次數(shù)限制等措施后,這一技術(shù)也將失效。目前互聯(lián)網(wǎng)上出現(xiàn)了利用自動解碼平臺和自動代理切換技術(shù)來繞過驗證碼和登錄次數(shù)的限制,已經(jīng)出現(xiàn)了這方面的實際案例,并造成較大影響,后續(xù)筆者將對這類新型攻擊的檢測和取證技術(shù)加以研究。

        猜你喜歡
        解碼黑客報文
        基于J1939 協(xié)議多包報文的時序研究及應(yīng)用
        汽車電器(2022年9期)2022-11-07 02:16:24
        歡樂英雄
        多少個屁能把布克崩起來?
        《解碼萬噸站》
        CTCS-2級報文數(shù)據(jù)管理需求分析和實現(xiàn)
        網(wǎng)絡(luò)黑客比核武器更可怕
        解碼eUCP2.0
        中國外匯(2019年19期)2019-11-26 00:57:32
        淺析反駁類報文要點
        中國外匯(2019年11期)2019-08-27 02:06:30
        NAD C368解碼/放大器一體機
        Quad(國都)Vena解碼/放大器一體機
        成人国产午夜在线视频| 久久天天躁夜夜躁狠狠85麻豆| 18禁黄网站禁片免费观看女女| 国产精品亚洲成在人线| 日韩中文字幕精品免费一区| 在线观看国产激情免费视频| 国产特级毛片aaaaaa高潮流水| 男受被做哭激烈娇喘gv视频| 久久久国产精品免费无卡顿| 男女性生活视频免费网站| 色欲色香天天天综合vvv| 伊人色综合视频一区二区三区| 中文岛国精品亚洲一区| 老熟妇嗷嗷叫91九色| 亚洲av男人电影天堂热app| 人妻少妇被猛烈进入中文字幕| 东京热加勒比在线观看| 久久精品av在线视频| 中国精品18videosex性中国| 亚洲成色在线综合网站| 国产精品美女久久久浪潮av| 91精品久久久中文字幕| 久久精品无码av| 99热这里只有精品4| 亚洲精品色播一区二区| 2021亚洲国产精品无码| 国产精自产拍久久久久久蜜| 午夜无码片在线观看影院y| 色综合悠悠88久久久亚洲| 国模无码一区二区三区不卡| 国产一区a| 性色av一区二区三区四区久久| 亚洲综合天堂av网站在线观看 | 乱人伦中文字幕在线不卡网站| 国产一区二区三区在线爱咪咪| 国产麻豆剧果冻传媒一区| 久久久无码一区二区三区| 91久久精品国产性色tv| 精品国产亚洲av麻豆| 99精品国产99久久久久久97| 国产一精品一aⅴ一免费|