매우 기술적이고 정교한 해킹이 많이 있습니다. 이름에서 짐작할 수 있듯이 무차별 대입 공격이 전부는 아닙니다. 그것들을 무시해야 한다는 말은 아닙니다. 정교하지는 않지만 매우 효과적일 수 있습니다. 충분한 시간과 처리 능력이 주어지면 무차별 대입 공격의 성공률은 항상 100%여야 합니다.
하위 클래스
온라인 및 오프라인 공격의 두 가지 주요 하위 클래스가 있습니다. 온라인 무차별 대입 공격이 반드시 인터넷을 포함하는 것은 아닙니다. 대신 실행 중인 시스템을 직접 대상으로 하는 공격 클래스입니다. 공격을 받고 있는 시스템과 상호 작용할 필요 없이 오프라인 공격을 수행할 수 있습니다.
그러나 시스템을 공격하지 않고 어떻게 시스템을 공격할 수 있습니까? 데이터 유출에는 종종 유출된 사용자 이름과 비밀번호 목록이 포함됩니다. 그러나 보안 조언에 따르면 비밀번호는 해시 형식으로 저장하는 것이 좋습니다. 이러한 해시는 올바른 암호를 추측해야만 해독할 수 있습니다. 안타깝게도 이제 해시 목록이 공개되었으므로 공격자는 목록을 다운로드하고 자신의 컴퓨터에서 크랙을 시도할 수 있습니다. 충분한 시간과 처리 능력을 통해 영향을 받는 사이트에 연결하기 전에 100% 확실하게 유효한 사용자 이름과 암호 목록을 알 수 있습니다.
이에 비해 온라인 공격은 웹 사이트에 직접 로그인을 시도합니다. 이것은 훨씬 느릴 뿐만 아니라 관심을 갖고 있는 거의 모든 시스템 소유자가 알아차릴 수 있습니다. 따라서 공격자는 일반적으로 오프라인 무차별 대입 공격을 선호합니다. 그러나 때로는 불가능할 수도 있습니다.
무차별 대입 자격 증명
이해하기 가장 쉬운 클래스이자 가장 일반적인 위협은 무차별 대입 로그인 세부 정보입니다. 이 시나리오에서 공격자는 문자 그대로 가능한 한 많은 사용자 이름과 암호 조합을 시도하여 무엇이 작동하는지 확인합니다. 위에서 설명한 것처럼 온라인 무차별 대입 공격에서 공격자는 로그인 양식에 사용자 이름과 암호의 조합을 최대한 많이 입력하려고 시도할 수 있습니다. 이러한 종류의 공격은 공격자를 차단하기 위한 조치를 취할 수 있는 시스템 관리자가 알아차릴 수 있는 많은 트래픽 및 실패한 로그인 시도 오류를 생성합니다.
오프라인 무차별 대입 공격은 암호 해시 크래킹을 중심으로 이루어집니다. 이 과정은 문자 그대로 가능한 모든 문자 조합을 추측하는 형태를 취합니다. 충분한 시간과 처리 능력이 주어지면 모든 해싱 체계를 사용하여 모든 암호를 성공적으로 해독합니다. 그러나 암호 해싱을 위해 설계된 최신 해싱 체계는 "느리게" 설계되었으며 일반적으로 수십 밀리초가 걸리도록 조정됩니다. 즉, 엄청난 양의 처리 능력이 있어도 상당히 긴 암호를 해독하는 데 수십억 년이 걸립니다.
대부분의 암호를 해독할 확률을 높이기 위해 해커는 대신 사전 공격을 사용하는 경향이 있습니다. 여기에는 일반적으로 사용되거나 이전에 크랙된 암호 목록을 시도하여 현재 세트에서 이미 본 적이 있는지 확인하는 작업이 포함됩니다. 모든 것에 고유하고 길고 복잡한 비밀번호를 사용하라는 보안 조언에도 불구하고 이 사전 공격 전략은 일반적으로 비밀번호의 약 75-95%를 매우 성공적으로 크래킹합니다. 이 전략은 여전히 많은 처리 능력을 필요로 하며 여전히 무차별 대입 공격의 한 유형이며 표준 무차별 대입 공격보다 약간 더 표적이 될 뿐입니다.
다른 유형의 무차별 대입 공격
무차별 대입을 사용하는 다른 많은 방법이 있습니다. 일부 공격에는 장치나 시스템에 대한 물리적 액세스 권한을 얻으려는 시도가 포함됩니다. 일반적으로 공격자는 그것에 대해 은밀하게 시도합니다. 예를 들어, 그들은 은밀하게 전화기를 훔치려 할 수 있고, 자물쇠를 따려고 할 수도 있고, 접근이 통제된 문을 통해 뒷문으로 들어갈 수도 있습니다. 이것에 대한 무차별 대입 대안은 실제 물리적 힘을 사용하는 문자 그대로의 경향이 있습니다.
경우에 따라 일부 비밀이 알려질 수 있습니다. 무차별 대입 공격을 사용하여 나머지를 추측할 수 있습니다. 예를 들어 신용카드 번호 몇 자리가 영수증에 인쇄되는 경우가 많습니다. 공격자는 다른 숫자의 가능한 모든 조합을 시도하여 전체 카드 번호를 알아낼 수 있습니다. 이것이 대부분의 숫자가 비어 있는 이유입니다. 예를 들어 마지막 4자리 숫자는 카드를 식별하기에 충분하지만 공격자가 카드 번호의 나머지 부분을 추측할 적절한 기회를 갖기에는 충분하지 않습니다.
DDOS 공격은 무차별 대입 공격의 한 유형입니다. 그들은 대상 시스템의 리소스를 압도하는 것을 목표로 합니다. 어떤 리소스인지는 중요하지 않습니다. CPU 성능, 네트워크 대역폭 또는 클라우드 처리 가격 상한에 도달할 수 있습니다. DDOS 공격은 말 그대로 피해자를 압도하기에 충분한 네트워크 트래픽을 보내는 것입니다. 실제로 아무것도 "해킹"하지 않습니다.
결론
무차별 대입 공격은 순전히 운, 시간 및 노력에 의존하는 공격 유형입니다. 무차별 대입 공격에는 다양한 유형이 있습니다. 그들 중 일부는 암호 크래킹 소프트웨어와 같은 다소 정교한 도구를 포함할 수 있지만 공격 자체는 정교하지 않습니다. 이것은 개념이 매우 효과적일 수 있기 때문에 무차별 대입 공격이 종이 호랑이라는 것을 의미하지는 않습니다.