क्रूर-बल हमला क्या है?

अनेक वस्तुओं का संग्रहAug 01, 2023

वहाँ कई अत्यंत तकनीकी और परिष्कृत हैक मौजूद हैं। जैसा कि आप नाम से अनुमान लगा सकते हैं, एक क्रूर-बल का हमला, वास्तव में इतना ही नहीं है। इसका मतलब यह नहीं है कि आपको उन्हें नज़रअंदाज़ करना चाहिए। भले ही वे अपरिष्कृत हों, वे बहुत प्रभावी हो सकते हैं। पर्याप्त समय और प्रसंस्करण शक्ति को देखते हुए, एक क्रूर हमले की सफलता दर हमेशा 100% होनी चाहिए।

उप-वर्गों

दो मुख्य उप-वर्ग हैं: ऑनलाइन और ऑफ़लाइन हमले। ऑनलाइन क्रूर-बल हमले में आवश्यक रूप से इंटरनेट शामिल नहीं है। इसके बजाय, यह हमले का एक वर्ग है जो सीधे चल रहे सिस्टम को लक्षित करता है। जिस सिस्टम पर हमला हो रहा है उसके साथ इंटरैक्ट किए बिना ऑफ़लाइन हमला किया जा सकता है।

लेकिन सिस्टम पर हमला किए बिना आप किसी सिस्टम पर हमला कैसे कर सकते हैं? खैर, डेटा उल्लंघनों में अक्सर लीक हुए उपयोगकर्ता नाम और पासवर्ड की सूची होती है। हालाँकि, सुरक्षा सलाह अनुशंसा करती है कि पासवर्ड को हैशेड प्रारूप में संग्रहीत किया जाए। इन हैश को केवल सही पासवर्ड का अनुमान लगाकर ही क्रैक किया जा सकता है। दुर्भाग्य से, अब जब हैश की सूची सार्वजनिक रूप से उपलब्ध है, तो एक हमलावर बस सूची डाउनलोड कर सकता है और उन्हें अपने कंप्यूटर पर क्रैक करने का प्रयास कर सकता है। पर्याप्त समय और प्रसंस्करण शक्ति के साथ, इससे उन्हें प्रभावित साइट से जुड़ने से पहले 100% निश्चितता के साथ वैध उपयोगकर्ता नाम और पासवर्ड की एक सूची मिल जाती है।

इसकी तुलना में एक ऑनलाइन हमला सीधे वेबसाइट में लॉग इन करने का प्रयास करेगा। यह न केवल बहुत धीमा है, बल्कि इसे देखने की परवाह करने वाले किसी भी सिस्टम मालिक द्वारा ध्यान देने योग्य भी है। इस प्रकार, ऑफ़लाइन क्रूर-बल हमलों को आम तौर पर हमलावरों द्वारा पसंद किया जाता है। हालाँकि, कभी-कभी, वे संभव नहीं हो सकते हैं।

क्रूर-मजबूर करने वाली साख

समझने में सबसे आसान वर्ग और सबसे आम ख़तरा लॉगिन विवरण को ज़बरदस्ती थोपना है। इस परिदृश्य में, एक हमलावर वस्तुतः यह देखने के लिए कि क्या काम करता है, उपयोगकर्ता नाम और पासवर्ड के यथासंभव कई संयोजनों का प्रयास करता है। जैसा कि ऊपर बताया गया है, एक ऑनलाइन क्रूर-बल हमले में, हमलावर केवल लॉगिन फॉर्म में उपयोगकर्ता नाम और पासवर्ड के कई संयोजन दर्ज करने का प्रयास कर सकता है। इस प्रकार का हमला बहुत अधिक ट्रैफ़िक उत्पन्न करता है और लॉगिन प्रयास में विफल त्रुटियाँ उत्पन्न करता है जिसे सिस्टम प्रशासक द्वारा देखा जा सकता है जो तब हमलावर को ब्लॉक करने के लिए कार्रवाई कर सकता है।

एक ऑफ़लाइन क्रूर-बल हमला पासवर्ड हैश को क्रैक करने के इर्द-गिर्द घूमता है। यह प्रक्रिया वस्तुतः पात्रों के हर संभावित संयोजन का अनुमान लगाने का रूप ले लेती है। पर्याप्त समय और प्रसंस्करण शक्ति दिए जाने पर, यह किसी भी हैशिंग योजना का उपयोग करके किसी भी पासवर्ड को सफलतापूर्वक क्रैक कर लेगा। हालाँकि, पासवर्ड हैशिंग के लिए डिज़ाइन की गई आधुनिक हैशिंग योजनाएँ "धीमी" होने के लिए डिज़ाइन की गई हैं और आमतौर पर दसियों मिलीसेकंड लेने के लिए तैयार की जाती हैं। इसका मतलब यह है कि भारी मात्रा में प्रसंस्करण शक्ति के साथ भी, एक सभ्य लंबे पासवर्ड को क्रैक करने में कई अरब साल लगेंगे।

अधिकांश पासवर्ड को क्रैक करने की संभावना को बढ़ाने के लिए, हैकर्स इसके बजाय शब्दकोश हमलों का उपयोग करते हैं। इसमें आमतौर पर उपयोग किए जाने वाले या पहले क्रैक किए गए पासवर्ड की एक सूची आज़माना शामिल है, यह देखने के लिए कि क्या मौजूदा सेट में से कोई भी पहले ही देखा जा चुका है। हर चीज़ के लिए अद्वितीय, लंबे और जटिल पासवर्ड का उपयोग करने की सुरक्षा सलाह के बावजूद, शब्दकोश हमले की यह रणनीति आम तौर पर लगभग 75-95% पासवर्ड को क्रैक करने में बहुत सफल होती है। यह रणनीति अभी भी बहुत अधिक प्रसंस्करण शक्ति लेती है और अभी भी एक प्रकार का क्रूर-बल हमला है, यह मानक जानवर-बल हमले की तुलना में थोड़ा अधिक लक्षित है।

अन्य प्रकार के क्रूर-बल हमले

पाशविक बल का प्रयोग करने के कई अन्य तरीके हैं। कुछ हमलों में किसी डिवाइस या सिस्टम तक भौतिक पहुंच हासिल करने का प्रयास शामिल होता है। आमतौर पर एक हमलावर इसके बारे में छिपकर रहने की कोशिश करेगा। उदाहरण के लिए, वे चोरी-छिपे फोन उठाने की कोशिश कर सकते हैं, वे लॉक तोड़ने की कोशिश कर सकते हैं, या वे एक्सेस-नियंत्रित दरवाजे से पीछे की ओर जा सकते हैं। इनके लिए क्रूर-बल के विकल्प वास्तविक भौतिक बल का उपयोग करते हुए बहुत शाब्दिक होते हैं।

कुछ मामलों में कोई राज की बात पता चल सकती है। इसके बाकी हिस्से का अनुमान लगाने के लिए एक क्रूर-बल के हमले का उपयोग किया जा सकता है। उदाहरण के लिए, आपके क्रेडिट कार्ड नंबर के कुछ अंक अक्सर रसीदों पर मुद्रित होते हैं। एक हमलावर आपका पूरा कार्ड नंबर निकालने के लिए अन्य नंबरों के सभी संभावित संयोजनों का प्रयास कर सकता है। यही कारण है कि अधिकांश संख्याएँ खाली कर दी जाती हैं। उदाहरण के लिए, अंतिम चार अंक आपके कार्ड की पहचान करने के लिए पर्याप्त हैं, लेकिन हमलावर के लिए कार्ड के बाकी नंबर का अनुमान लगाने का अच्छा मौका पाने के लिए पर्याप्त नहीं हैं।

डीडीओएस हमले एक प्रकार का क्रूर-बल हमला है। उनका लक्ष्य लक्षित सिस्टम के संसाधनों पर कब्ज़ा करना है। यह वास्तव में मायने नहीं रखता कि कौन सा संसाधन है। यह सीपीयू पावर, नेटवर्क बैंडविड्थ या क्लाउड प्रोसेसिंग मूल्य सीमा तक पहुंचना हो सकता है। डीडीओएस हमलों में वस्तुतः पीड़ित को अभिभूत करने के लिए पर्याप्त नेटवर्क ट्रैफ़िक भेजना शामिल होता है। यह वास्तव में कुछ भी "हैक" नहीं करता है।

निष्कर्ष

क्रूर-बल हमला एक प्रकार का हमला है जिसमें केवल भाग्य, समय और प्रयास पर भरोसा करना शामिल होता है। क्रूर-बल के हमले के कई अलग-अलग प्रकार हैं। हालाँकि उनमें से कुछ में पासवर्ड-क्रैकिंग सॉफ़्टवेयर जैसे कुछ परिष्कृत उपकरण शामिल हो सकते हैं, लेकिन हमला स्वयं परिष्कृत नहीं है। इसका मतलब यह नहीं है कि क्रूर-बल के हमले कागजी शेर हैं, क्योंकि यह अवधारणा बहुत प्रभावी हो सकती है।