مصطفی خادمی اسلام
کارشناس فناوری اطلاعات ، مدرس لینوکس و اسکریپت نویسی

حمله بروت فورس چیست؟ آموزش Brute Force + ابزارها و راهکارها

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

چگونه حمله Brute Force انجام دهیم؟ چند نوع حمله بروت فورس وجود دارد؟ چه نوع ابزارهایی برای Brute Force کردن وجود دارند؟ دو روز پیش مقاله ای داشتیم درباره امنیت در تلگرام که یکسری کار ها بود که اگر انجام میدادیم تلگرام امنی داشتیم (حداقل هک نمیشد). حالا تو این مقاله یه نگاه میندازیم به اینکه اگر سایتی راه اندازی میکنیم چجوری امنیت کاربرانمون رو ببریم بالا تا هکر نتونه حمله Brute Force داشته باشه.

اصلا Brute Force چیه؟

معنی کلمه ایش میشه نیروی بی رحم :) شاید یجورایی با کاری که میکنه هم یکیه. ما بهش میگیم ورود اجباری یا زوری. در اصل در حمله Brute Force هکرT زدن رمز رو میذاره رو دوش کامپیوتر، یعنی کامپیوتر میاد خودش به ترتیب از اولین حرف الفبا شروع به تولید رمز عبور میکنه و به جای رمز میزنه و انقدر اینکار رو انجام میده تا بتونه وارد بشه.

حالا چند نوع داره این حمله که البته همشون دارن یه کار رو انجام میدن و فقط به اطلاعات هکر بستگی داره.نوع اول و بد ترین نوع این حمله زمانیه که هکر واقعا اطلاعاتی نداره از Target و فقط میدونه مثلا اسم طرف مصطفی خادمی هست، نه Username داره نه هیچ اطلاعاتی ، اینجوری باید بیاد هم username رو به عنوان مجهول بگیره و هم Password رو و خب اینجوری میشه گفت هیچوقت به نتیجه نمیرسه

یا برای به نتیجه رسیدن باید از یه سوپر کامپیوتر استفاده کنه.نوع دومی که بررسی میشه زمانی هست که هکر username رو میدونه،مثلا در اینستاگرام username شما برای همه بازه و همه میبیننش یا مثلا ایمیل شما رو همه دارن پس نصف ماجرا حل میشه و فقط میمونه پسورد. حالا هکر درباره پسورد شما هیچ اطلاعاتی نداره و باید بیاد

از تمام 26 حرف انگلیسی رو بذاره هم کوچیک هم بزرگ که خب میشه 52 حالت بعد تمام اعداد رو بذاره که 10 حالت هم اینجاس و میشه 62 حالت و بعد کراکتر هم اضافه کنه که معروف ترین کراکتر ها رو هم 10 تا حساب کنیم میشه 72 حالت برای هر خونه و هیچ اطلاعاتی هم نداره که رمز شما چقدر هست و این حرفا پس باید از 1 رقمی شروع کنه بیاد بالا همه حالت ها رو بزنه بعد دو رقمی و همینجور تا آخر. حالا شما فکر کنی رمز target 10 رقمی باشه، برای رسیدن به این رمز باید این تعداد حالت بررسی بشه:

  • برای یک رقمی 72 به توان 1 حالت رو میزنه که میشه 72 حال
  • برای دو رقمی 72 به توان 2 حالت رو میزنه که میشه 5182 حالت
  • برای سه رقمی 72 به توان 3 حالت رو میزنه که میشه 373248 حالت
  • همینجوری که حساب کنید برای 9 رقمی باید 51,998,697,814,228,992 حالت رو امتحان کنه :)
  • خب تقریبا نشدنیه اگر رمز شما طولانی تر هم باشه ولی خب صد درصد به جواب میرسه

نوع سوم و بهترین حالت زمانی هست که شما میتونی با مهندسی اجتماعی یک سری چیزها رو در بیاری. یه مثال بزنم شاید بد نباشه. کلا مهندسی اجتماعی بهترین راه شما برای به دست آوردن خیلی از اطلاعات هست و بعضی وقتا باید دروغ گفت یا هر کار دیگه ای که مخاطب رو وادار کنه اون چیزی رو که نمیخواد بگه.

مثلا آقای کوین متنیک، بزرگ ترین هکر تاریخ خودش میگه که 70 درصد از هک فقط مهندسی اجتماعیه و ابداع کننده این اصطلاح هم خود ایشون بودن ، خیلی وقت پیش میشد روی subdomain های گوگل حمله brute force انجام داد (دیگه نمیشه و لطفا سوال هم نپرسید تو این زمینه این فقط یه خاطرس برای مهندسی اجتماعی) و من تازه با این حمله آشنا شده بودم و میخواستم تو دنیای واقعی امتحانش کنم.

رو subdomain گوگل با جیمیلی که داشتم از همسایمون شروع بع brute force کردم و خب با توجه به دستگاه بسیار ضعیفی که داشتم تا شب شاید یک هزارم درصد از حالت ها رو بیشتر نزد. فردا با اون همسایمون صحبت که میکردیم بحث رو کشیدم سمت ایمیل و تو بحث گفتم: من شماره موبایل پدرم رو گذاشتم رو ایمیلم با حرف اول بهترین دوستم اون هم گفت اتفاقا من هم تاریخ تولد بهترین دوستم رو گذاشتم روش خب بریم سراغ بحث سومین نوع ، حالا با مهندسی اجتماعی فهمیدم که رمز یا به شکل 13731373 هست یا به شکل 1373255 هست یا 73255 هست.میبینید؟

حالا گزینه هام بسیار کم شد.من اومدم تو برنامه burp suite یه regex نوشتم برای brute force و حالت های مختلفش رو گفتم و برنامه شروع به زدن کرد و تو کمتر از چند ساعت رمز به دست اومد. حالا که میدونیم این حمله چی هست و چقدر میتونه خطرناک باشه تو قسمت های بعدی درباره ابزاری که این کار رو انجام میدن صحبت میکنیم و اینکه چطور میشه جلو این حمله رو گرفت.

البته یک حمله به اسم Dictionary Attack هم داریم که بسیار مشابه این حمله هست ولی خب تو تقسیم بندی ها جزو Brute Force حساب نمیشه.فقط یک text file بسیار بزرگ داریم که معمولا هکر ها از هک کردن پایگاه داده یک شرکت درستش میکنن و رمز بسیاری از کاربران دنیاس که برنامه دونه دونه اونا رو میذاره جای رمز شما و با احتمال اینکه کسی قبلا این رمز رو گذاشته

پس امکان داره شما هم گذاشته باشید میره جلو و ممکنه جواب بده یا نده ولی brute force حتما به جواب میرسه.در مقاله قبل کلیات حملات Brute Force رو باهم گفتیم.حالا میخوایم ببینیم کجا و با چه برنامه هایی میشه این حمله رو انجام داد تا در مقاله های آینده جلوگیری از این حمله رو بررسی کنیم. اول به این سوال جواب بدیم که این حمله کجاها صورت میگیره؟ به طور کاملا خلاصه میشه گفت هرجا که از شما username و password بخواد. حالا میتونه پنل ورودی یک سایت باشه یا رمز وای فای شما.

معرفی ابزار Aircrack-ng

احتمال خیلی زیاد اگر یک بار دنبال هک وای فای یا همچین چیزایی رفته باشید و تو اینترنت گشته باشید حتما اسم این برنامه رو شنیدید. این برنامه معروف ترین برنامه برای پیدا کردن رمز وای فای هست که به صورت رایگان ارائه شده.این برنامه میتونه روی WEPWPAWPA-2psk شروع به شکستن پسورد بکنه.

البته باید توجه داشت این برنامه کارت شبکه هایی رو ساپورت میکنه که raw monitorin رو ساپورت میکنن یا به عبارت دیگه promiscuous mode دارن.این برنامه بر روی هر دو پلتفرم ویندوز و لینوکس قابل اجراس و به صورت پیشفرض روی کالی لینوکس هم نصبه و خب نیازی به گفتن نیست که استفاده از لینوکسش بهتره.محیط کار این برنامه در کالی لینوکس


آموزش حمله بروت فورس (Brute Force) قسمت 2 : ابزارها

لینک سایت: Aircrack-ng

معرفی ابزار John the Ripper

این برنامه هم یکی از برنامه های بسیار عالی هست که نیازی به معرفی نداره. زمان طولانی ای هست که از این برنامه برای Brute force و password cracking استفاده میکنند. این برنامه برای سیستم های unix based نوشته شده بود و بعد از آن برای پلتفرم های دیگه هم شروع به نوشتنش کردن.

الان این برنامه 50 پلتفرم مختلف رو ساپورت میکنه که شامل unix و windows و DOS و BeOS و openVMS هست.این برنامه برای شناسایی پسوردهای ضعیف یا شکستن پسورد ها به کار میره.این برنامه میتونه تشخیص بده پسورده شما با چه الگوریتمی hash شده و همچنین میتونید با یک دیکشنری از حالت dictionary attack این برنامه استفاده کنید.

برای فراخوانی این برنامه در کالی فقط کافیه با اسم کوچیک صداش کنید :))) با تایپ john در محیط کامندی اون رو فراخونی میکنید و اگر صمیمی تر و با نام johnny صداش کنید محیط گرافیکال خودش رو هم نشون میده مثل عکس های زیر.


آموزش حمله بروت فورس (Brute Force) قسمت 2 : ابزارها


آموزش حمله بروت فورس (Brute Force) قسمت 2 : ابزارها

لینک سایت: John the Ripper

معرفی ابزار Rainbow Crack

این برنامه نیز یک برنامه معروف بین برنامه های Brute Force و Password Cracking هست.من با این برنامه زیاد کار نکردم و شاید دوستانی که کار کردن بتونن بیشتر کمک کنن اگر سوالی باشه ولی اونطور که من خوندم این برنامه rainbow table هایی درست میکنه در زمان شروع attack که این جدول ها از قبل محاسبه شدن و به همین دلیل تو زمان صرفه جویی میشه و زودتر به نتیجه میرسید.

یک چیز بسیار خوب دیگه ای هم که هست اینه که شما میتونید این جدول هایی که دیگران قبلا ساختن رو از اینترنت دانلود کنید و به برنامه بدید که بسیار قوی تر هم میشه.این برنامه هم روی هر دو پلتفرم ویندوز و لینوکس قابل اجراس و آخرین ورژن هایی هر دو رو ساپورت میکنه.ظاهرا این برنامه در ویندوز محیط گرافیکی داره ولی تو کالی همچین محیطی رو پیدا نکردم و فقط کامندیش رو دیدم که با زدن دستور rcrack ابزار رو فراخوانی میکنید.محیط برنامه به شکل زیر هست در کالی


آموزش حمله بروت فورس (Brute Force) قسمت 2 : ابزارها

لینک سایت: Rainbow Crack

خب در مقاله های بعدی باز هم برنامه ها و ابزار های مختلف رو ادامه میدیم تا آشناییمون با تموم این برنامه ها بیشتر بشه.در مقاله قبل برنامه ی Aircrack-ng و John the Ripper و Rainbow Crack رو باهم بررسی کردیم و حالا میخوایم چند برنامه دیگه رو بررسی کنیم.

معرفی ابزار Cain and Abel

مطمئنم که دوستان حداقل یک بار اسم این برنامه رو شنیدن، و البته اگر داستان آدم و حوا رو به انگلیسی هم خونده باشید حتما این اسم رو شنیدید :) همون هابیل و قابیل خودمون هستن. این برنامه به شما در password cracking کمک میکنه که این کار رو توسط حمله Brute Force انجام میده و یا مثل برنامه Rainbow Crack که در برنامه مقاله قبل بررسی کردیم از یک Rainbow Table استفاده میکنه

به این معنی که شما یک سری رمز از پیش آماده شده به اون میدید و اون شروع به ساخت hash میکنه و بعد hash ها رو با hash رمزهایی که مد نظر شماست مقایسه میکنه و در پایان اگر موفق به شکستن بشه به شما رمز رو میده.البته خیلی از آنتی ویروس ها این برنامه رو به عنوان یک بدافزار میشناسن که این هم نشان از قدرت این برنامه داره. به طور مثال آنتی ویروس مایکروسافت و avast این برنامه رو block میکنند.کارهای دیگه ای که این برنامه انجام میده:

  • sniff کردن شبکه
  • ضبط مکالمات VoIP
  • ضبط Network Key های wireless
  • آنالیز پروتکل های routing

البته در ورژن آخر برای حملات Man in the Middle قسمت های بهتری هم اضافه شده.


آموزش حمله بروت فورس (Brute Force) قسمت 3 : ابزارها

لینک دانلود برنامه

معرفی ابزار L0phtCrack

این برنامه آوازه برنامه های قبل رو نداره و ممکنه حتی اسمش رو هم نشنیده باشید و چیز عجیبی هم نیست. در اصل از این برنامه برای شکستن رمز های ویندوز استفاده میشود. از حملات Dictionary و Brute Force و Hybrid استفاده میکنه و همچنین از Rainbow Table ها. از خصوصیات و ابزار های این برنامه میتوان به زمانبندی، پیدا کردن hash ویندوز های 64 بیتی، الگوریتم های Multiprocessor و monitoring شبکه اشاره کرد.


آموزش حمله بروت فورس (Brute Force) قسمت 3 : ابزارها

لینک برنامه

معرفی ابزار Ophcrack

این برنامه نیز مانند برنامه بالا برای شکستن پسورد های ویندوز استفاده میشود. این برنامه برای شکستن پسورد های ویندوز از LM hash و Rainbow Table استفاده میکند. این یک برنامه آزاد و متن باز است. در بیشتر موارد این برنامه میتواند در چند دقیقه پسوردهای ویندوز را بشکند.در Rainbow Table پیشفرض این برنامه فقط پسورد های زیر 14 کاراکتر وجود دارند که از حروف الفبا استفاده کرده اند و برای جدول های بیشتر میتوان به اینترنت مراجعه کرد و آن ها را دانلود کرد.


آموزش حمله بروت فورس (Brute Force) قسمت 3 : ابزارها

سلام دوستان قرارمون بر این بود که حملات Brute Force رو مرور کنیم و ابزرا و برنامه هایی که این کار رو میکنن بررسی بشن و در آخر روش جلوگیری از این حملات رو برای عزیزان طراح وب سایت توضیح بدیم.در مقاله قبل در باره 3 برنامه Cain and Abel و L0phtCrack و Ophcrack صحبت کردیم و حالا میریم که چند برنامه دیگه رو ببینیم.

معرفی ابزار Crack

این برنامه یکی از قدیمی ترین برنامه هایی هست که تو شکستن پسورد ها یا به اصطلاح Password Cracking کمکمون میکرده و در سیستم عامل unix وجود داشت. این برنامه برای چک کردن پسورد های ضعیف به کار میاد.به طور مثال شما در شرکت قانونی میذارید که کسی حق نداره پسورد ضعیف برای user خودش انتخاب کنه، خب این برنامه یک لیست از پسورد های ضعیف و پرکاربرد در جهان رو داره پس شما کافیه user ها رو بدید به این برنامه تا ببینید چه افرادی پسوردی انتخاب کردن که به راحتی میشه پیداش کرد.

معرفی ابزار Hashcat

این برنامه ادعا میکنه که سریع ترین برنامه شکستن پسورد هاست. همچنین یک برنامه آزاد (Free) هست و برای پلتفرم های لینوکس، ویندوز و مک وجود داره.این برنامه از الگوریتم های LM و MD5 و SHA-Family و Unix Crypt formats و MySQL و Cisco pix استفاده میکنه و اونا رو ساپورت میکنه.

این برنامه چندین نوع حمله رو ساپورت میکنه از جمله Brute Force و Combinator attack و Dictionary Attack و Fingerprint Attack و Hybrid Attack و Mask Attack و Permutation Attack و Rule-based Attack و Table-Lookup Attack و Toggle-case Attack ، این برنامه رو تمام این حمله ها به صورت تخصصی کار نکرده و نباید انتظار داشت توی همه این حمله ها بتونه به پای برنامه هایی برسه که دارن روی 1 یا 2 اتک به صورت تخصصی کار میکنن ولی خب به دلیل ساپورت کردن تعداد حملات بالا و سرعت خوب میشه حداقل اون رو جزو بهترین ها آورد


آموزش حمله بروت فورس (Brute Force) قسمت 4 : ابزارها

معرفی ابزار SAMInside

این برنامه هم یکی از برنامه های معروف برای شکستن رمز های ویندوز هست مثل Ophcrack و Lophtcrack .این برنامه ادعا میکنه که میتونه 10 ملیون رمز بر سانیه امتحان کنه روی یک کامپیوتر خوب. این برنامه از حملاتی همچون Mask Attack و Dictunary Attack و Hybrid Attack و حملاتی که از Rainbow Table کار میکنند را ساپورت میکند.قسمت پر قدرت این برنامه الگوریتم های hashing ساپورت شده توسط این برنامه هست که طبق گفته شرکت سازنده بیش از 400 الگوریتم رمزنگاری را ساپورت میکند.خب دوستان عزیز در قسمت قبل همچنان به ابزار ها پرداختیم و این قسمت قسمت آخر از معرفی ابزار هاس و در قسمت های بعدی روش های پیشنهادی رو برای جلوگیری از این حمله به پنل ورودی سایت ها میگیم.

معرفی ابزار Ncrack

این برنامه یکی از معروف ترین برنامه ها در زمینه رد کردن احراز هویت در شبکه هست. این برنامه از چندین پروتکل پشتیبانی میکنه از جمله RDP, SSH, HTTP, HTTPS, SMB, POP3, POP3s, FTP و Telnet. همچنین میتونه حملات مختلفی رو انجام بده که شامل Brute Force هم میشه. این برنامه پلتفرم های مختلفی رو هم ساپورت میکنه که شامل Linux و BSD و Windows و MAC OS S میشه.


آموزش حمله بروت فورس (Brute Force) قسمت 5 : ابزارها

معرفی ابزار THC Hydra

THC Hydra در زمینه حملات Brute Force یکی از شناخته شده ترین هاست که تقریبا میشه گفت اگر یک بار اسم این حمله رو در اینترنت سرچ کرده باشید اسم این برنامه رو دیدید.این برنامه از Dictionary Attack نیز پشتیبانی میکند و همچنین بیش از 30 پروتکل معروف که شامل Telnet و FTP و HTTP و SMB و خیلی های دیگ میشه رو ساپورت میکنه.

برای پلتفرم های مختلفی هم در دسترس هست که شامل Linux و Windows و Solaris11 و FreeBSD 8.1 و OpenBSD و Mac OS X و QNX//Blackberry میشه.شما توسط این برنامه میتونید به Mail Server ها حمله کنید که در سال های اخیر خیلی از Mail Server های بزرگ دنیا مثل گوگل و یاهو هم از این طریق هک میشدند که البته چند وقتی هست که جلو این مسئله گرفته شده.


آموزش حمله بروت فورس (Brute Force) قسمت 5 : ابزارها

معرفی ابزار BurpSuite

این برنامه (که البته در دو حالت رایگان با قابلیت های کم و پولی با قابلیت های بالا ارائه میشه) در تمام رتبه بندی های برنامه های هک حضوری پررنگ داره و اگه اول نباشه جزو 5 تای اول هست. کار این برنامه فقط Brute Force نیست و بسیاری دیگه از کار ها رو در هک وبسایت انجام میده

مثل نگه داشتن صفحه ارسالی به سمت سرور و دستکاری او یا عوض کردن Content Type برای upload کردن web shell ها به سرور سایت یا نگه داشتن صفحه برگشتی از سرور برای سو استفاده از سایت های فروش آنلاین و خیلی از کارهای دیگه که واقعا عالی هستن و حتی برنامه های تخصصی اون کار با قدرت BurpSuite نمیتونن کار کنن.

اما بریم سراغ بحث خودمون که همون BruteForce هست. این برنامه در این زمینه هم قدرت بسیار زیادی داره در حدی که شما میتونید صفحه ای رو که میخواید روی اون Brute Force بزنید رو با استفاده از پروکسی به داخل برنامه هدایت کنید و هر چند قسمتی که میخواید روی اونا حمله بزنید رو انتخاب کنید به عنوان مجهول و حمله کنید.

حالا قسمت جالب ترش جایی هست که شما علاوه بر اینکه میتونید Dictunaryu Attack بزنید با معرفی یک Dictunary ، میتونید با استفاده از Regex ها حمله کنید. یعنی به طور مثال یک Regex بنویسید برای رمز که مثلا رمزی که میخواید روش Brute Force بکنه با عدد شروع میشه و تا 4 رقم عدد اولش قرار میگیره و بعد یک حرف بزرگ و 4 حرف کوچک که شامل a تا t میشن هست و در آخر هم یکی از علائم استفاده میشه. حالا این یک regex بسیار معمولی هست ولی این برنامه regex های بسیار پیچیده تری رو هم ساپورت میکنه.خلاصه یادگرفتن این برنامه کلی به آدم کمک میکنه.


آموزش حمله بروت فورس (Brute Force) قسمت 5 : ابزارها

امیدوارم تا اینجا به کارتون اومده باشه و این رو هم بگم که نیازی نیست همه این برنامه ها رو بلد باشید، اگر میخواید شروع به یادگیری بکنید چنتا رو انتخاب بکنید و یاد بگیرید چون خیلی از این برنامه ها کار مشابه انجام میدن.پیشنهاد خود من Burp Suite و Cain and Able و Hydra هست ، حالا ممکنه دوستان دیگه نظرات دیگه ای داشته باشن و همه نظر ها محترم هست.

آموزش حمله بروت فورس (Brute Force) قسمت 4 : ابزارها

معرفی ابزار DaveGrohl

این برنامه یکی از برنامه های معروف و پرکاربرد برای انجام حملات Brute Force روی Mac OS X هست. این برنامه تمام ورژن های حال حاضر Mac OS X رو ساپورت میکنه.این برنامه از دو حمله Dictunary Attack و Incremental Attack استفاده میکنه برای حملاتش و همچنین میتونه به چند کامپیوتر با الگوریتم hash یکسان به صورت همزمان حمله کنه.این برنامه به صورت Open Source در اختیار همه قرار گرفته.

خب امروز هم 4 برنامه رو گفتیم و زیاد طولانیش نمیکنیم تا تو قسمت بعدی برنامه ها رو تموم کنیم و بریم سراغ امن سازیش امیدوارم مفید بوده باشه

آموزش جلوگیری از حمله بروت فورس

در چند قسمت قبل درباره مفهوم و انواع حملات Brute Force صحبت کردیم و برنامه هایی که توسط آن ها این نوع حملات را شکل میدهند مرور کردیم. در شبکه هایی مثل wifi معمولا نمیتوان جلو این نوع حملات را گرفت و مجبوریم با گذاشتن پسوردی سخت احتمال هک شدن را کم کنیم ولی در وبسایت ها تقریبا میتوان جلو این حمله را به طور کلی گرفت که یک هکر نتواند بر روی پنل مدیریت یا حتی بر روی اکانت دیگر کاربران چنین حمله ای کند.

قدم اول: اجباری کردن انتخاب پسوردی پیچیده

بسیاری از کاربران با تفکر اینکه اکانت مهمی در سایت ندارند یا اینکه چه کسی ما رو هک میکنه پسوردی بسیار آسان میذارند مث 123456.شما برای اینکه وب سایت خود را امن کنید باید اجباری بگذارید تا نتوان چنین پسورد هایی گذاشت. یکی از معروف ترین حالات اجبار که احتمالا در سایت های معروف هم دیدیم این است که میگویند پسورد حتما باید ترکیبی از عدد و حرف باشد و از حروف کوچک و بزرگ باید استفاده بشود.در این حالت ساده ترین پسوردی که یک نفر میتوناند بگذارد چیزی شبیه Aa1234 میباشد که از نظر امنیتی بسیار بهتر از 1 تا 6 است و اگر هکری بتواند حمله Brute Force بکند پیدا کردن پسورد بسیار بیشتر از حالت عادی طول میکشد.

قدم دوم: محدود کردن تعداد دفعات احراز هویت

اگر یک هکر شروع به امتحان کردن پسورد ها بکنه و شما یک پسورد قوی داشته باشید احتمال اینکه در دفعات اول بتونه رمز رو درست بزنه بسیار کم یا غیر ممکنه ولی همچنان به تلاشش ادامه میده.به همین دلیل پیشنهاد میشه در صفحه log in برای هر IP محدودیت بگذارند که هر فرد با یک IP نتواند بیش از چند دفعه تلاش کند.به طور مثال اگر شما یک static ip address داشته باشید روی یک سایت wordpress که از Apache استفاده میکنه شما میتونید محدود کنید دسترسی به wp-login/ رو به این IP در فایل htaccess. و اگر static ip ندارید میتونید محدود کنید تو محدوده ip هایی که isp به شما میده:

<Files /wp-login>
 order deny,allow
 allow from MYIP
 allow from MYIP2
 deny from all
 </Files>

شما میتونید این کار رو برای تمام url ها احراز هویت که روی برنامه یا cms شماست انجام بدید. اگر شما از یک cloud-based WAF استفاده میکنید مثل Sucuri Firewall میتونید از داشبورد این سیستم برای بستن استفاده کنید.

قدم سوم: Captchas

;کپچا ها یکی از بهترین راه ها برای جلوگیری از حملات هستند و اگر یک راه رو بخواید که پیشنهاد کنیم همین کپچا هست.اگر شما نتوانید روی IP ها محدودیت بذارید روی صفحه لاگینتون حتما میتونید کپچا بذارید. در بعضی موارد برای اینکه حالت user friendly تری به سایت بدن میان و کپچا رو برای تکرار بالای دو یا سه بار میذارن. یعنی زمانی که شما میخواید لاگین کنید کپچایی نمیبینید ولی اگر دو یا سه بار اشتباه بزمید کپچا فعال میود.

قدم چهارم: احراز هویت دو مرحله ای

ممکن است یک نفر بخواهد با استفاده از راه هایی مثل Brute Force کدی که سایت برای شما میفرستد تا احراز هویت کند را به دست بیاورد و با آن بتواند رمز عبور را تغییر بدهد. زمانی که شما احراز هویت دو مرحله ای را فعال کنید دیگر تنها به دست آوردن آن کد برای احراز هویت شما کافی نیست و شما باید با ایمیل خود نیز تایید کنید که در این صورت کار یک هکر سخت تر میشود و دیگر نمیتواند با استفاده از این متد شما را هک کند.

شما این کار ها را میتوانید بر روی سرور شبکه خود نیز اعمال کنید تا اگر کاربری بیش از 3 بار تلاش کرد وارد اکانت شود و اشتباه زد اکانت بسته شده و به شما اطلاع بدهد.با این حرکات میتوانید تقریبا مطمئن باشید که حمله Brute Force نمیخورید.اگر mail server هم داشته باشید در شبکه این اعمال رو باید روی mail server هم انجام بدهید زیرا ممکن است از این طریق هم به شما حمله شود. امیدوارم مفید بوده باشه


مصطفی خادمی اسلام
مصطفی خادمی اسلام

کارشناس فناوری اطلاعات ، مدرس لینوکس و اسکریپت نویسی

مصطفی خادمی اسلام، کارشناس فناوری اطلاعات و فعال در زمینه شبکه و سیستم های متن باز مدرس لینوکس و اسکریپت نویسی در bash

24 دی 1395 این مطلب را ارسال کرده

نظرات