web-dev-qa-db-ja.com

匿名化なしで、単一のマシンからオンライン辞書攻撃を実行することはまだ可能ですか?

この質問は、実施された辞書攻撃に関するものです。

  • インターネット経由で、THC Hydraなどのプログラムを使用
  • HTTP、FTP、SMTPなどのプロトコル経由

私は次のことを考えているのは正しいと思います:a)彼らが採用する傾向のある高度なセキュリティレイヤーのために、そのような攻撃は、大規模なサイト(Facebook、Twitter、Gmail、Outlookなど)で成功することはできません。 IPをマスクし、Torネットワークを介して攻撃を振り分け、ボットネットの軍隊に配布します。 b)小規模な自己ホスト型サイトに対するこれらの攻撃の効果は、サーバーを実行している人の能力によってのみ制限されること。

ただし、2つの間の(おそらく)より大きなスペースを占めるギャップについてはどうですか?残りのWebが稼働時間に依存している中小規模のWebホスティングプロバイダー。

平均すると、これらの組織のセキュリティは一般に、単一のIPアドレスからの推測攻撃を検出し、それらのプロトコルを介してアドレスを永久に禁止するのに十分に進んでいますか?そのようなターゲットへの攻撃中に、大きなサイトをターゲットにするときと同じくらい必要性を匿名化していますか?

または、私が別の方法で求めていることを言います。小規模なWebホスティング組織のセキュリティは、匿名化なしで単一のマシンからの推測攻撃を完全に廃止するのに十分なほど高度になっていますか?

私がこれについて尋ねたのは、匿名化またはボットによる攻撃の分散のいずれかについて言及しているほど、トピックで見た記事(辞書攻撃とブルートフォース攻撃の両方に対するTHC Hydraと同様のプログラムの使用に関するガイド)がないためです。 、そしてそれを行うときに、そのような手順がどれほど必要または不必要なのか疑問に思いました。

これらの対策を講じずに実際にどこかに行っているハッカーはいますか?

2
Hashim

Webサイトのセキュリティは、会社の規模とは関係ありません。ソニーのような大企業がハッキングされ、セキュリティ対策が不十分でした(クリアテキストのパスワード)。一方、管理者としてセキュリティの専門家がいる個々のサイトは、おそらく最新のセキュリティ保護を使用します。唯一のルールは、Webサイトのセキュリティは、そのセキュリティ管理者の能力によって制限されることです。物理的なセキュリティはコストでしか発生しないため、生の能力と財務リソースの両方が含まれます。

質問の残りの部分は、主に攻撃者と防御者の間のリソースと知識の問題です。2つの中から最高のものが勝ちます。攻撃者にとってはエクスプロイトの成功を意味し、防御者にとっては少なくとも攻撃の失敗を意味しますが、多くの場合、目標は攻撃者の特定です。これは、匿名化ツールとして使用する定数です:ターゲットがあなたが誰であるかを知ることに興味がない場合は、何も十分ではありませんが、NSAを攻撃するためにTORに依存することはありません...

つまり、サイトを攻撃する場合、すべては攻撃対象に依存します。

  • 彼らがセキュリティにほとんど関心がない場合、あなたの攻撃は気付かれない可能性が高く、成功する可能性さえあります
  • 平均的なセキュリティを使用している場合、あなたのアドレスは成功する前に禁止されますが、それ以上は進みません
  • 機密性の高い情報を保護している場合、一部の警官がドアをノックしている可能性があります。または、サイトが犯罪組織によって所有されている場合は、さらに徹底的な行動をとります。

TL/DR:ツールを使用してサイトを攻撃する方法を説明することは理にかなっています。これはペンテスターに​​とって有用な知識であるため、多くの人が過度になりたくないため、平均的なサイトから匿名性を保護する方法に関するガイドも見つけることができます。追跡。しかし、最初に攻撃を構築する方法を説明するセキュリティ専門家を見つけることはほとんどありません。なぜなら、1 /彼らはそのことを教えることに興味がなく、2 /彼らは完全に当​​てはまるものがないことを知っているからです。

1
Serge Ballesta

あなたがそれを削除する前に、私はあなたの前の質問でこれに答えました。答えはまだ関連があるはずです。

あなたは、大企業が洗練されたパスワード管理を使用していると想定しています。この場合、小規模な自己ホスト型サイトは少数の潜在的に無能な人々によって制限されています。現実には、2つの間にそれほど大きなスペースはなく、多くの場合、大規模で重要なサイトのパスワード実装にはほとんどまたはまったくセキュリティがなく、小規模なサイトの多くはかなり高度な(または少なくとも十分な)セキュリティを備えています。 Googleのような企業は2FAを使用する場合がありますが、単純な総当たり攻撃を無効にしますが、他の多くの企業はそうではありません。ブルートフォース攻撃が「これまで通りに効果的」であるとは言いませんが、PlainTextOffendersなどのサービスが示すように、大規模で人気のある、人員の多いWebサイトでさえも、パスワード認証を適切に行う方法を教育するには、まだやるべきことがたくさんあります。

実際のところ、Webベースのパスワード攻撃は依然としてどこにでもあり、最も人気のあるパスワードを使用して無数のWebサイトを常に攻撃している大規模なボットネットがあります。これは、パスワードでログインするWebサイトに固有のものではありません。 fail2banと公開鍵認証がSSHブルートフォースのリスクを大幅に制限または排除しているにもかかわらず、SSHは依然として積極的にブルートフォースされています。トップ100(またはトップ10)の最も人気のあるパスワードを使ってランダムなサイトをたどると、適度に注目度の高いサイトであっても、あっという間に数十のシェルを破ったことがわかります。

チュートリアルが匿名性のテクニックについて詳しく説明していないのは、それらがしばしば範囲外であるためです。アイデアは、誰かが匿名性を必要とするならば、彼らはそれを使うということです。ボットネットを使用した攻撃の分散に関しては、通常、単一のサイトを非常に迅速に攻撃するよりも、一度に多くのサイトを攻撃する方が便利です。参照 ブルートフォース攻撃に関するこの質問 これが実際にどのように見えるかを説明します。

ブルートフォース攻撃と辞書攻撃は、ウェブサイトのサイズに関係なく、十分なレート制限を行わないか、2FAを使用するウェブサイトでもかなり成功しています。

0
forest