Brute-Force Attack คืออะไร?

เบ็ดเตล็ดAug 01, 2023
click fraud protection

มีการแฮ็คทางเทคนิคและซับซ้อนมากมาย คุณอาจเดาได้จากชื่อ การโจมตีด้วยกำลังเดรัจฉานไม่ใช่ทั้งหมดนั้น ไม่ได้หมายความว่าคุณควรเพิกเฉยต่อสิ่งเหล่านี้ แม้จะไม่ซับซ้อน แต่ก็มีประสิทธิภาพมาก เมื่อมีเวลาและพลังในการประมวลผลเพียงพอ การโจมตีด้วยกำลังดุร้ายควรมีอัตราความสำเร็จ 100% เสมอ

ชั้นเรียนย่อย

มีสองประเภทย่อยหลัก: การโจมตีออนไลน์และออฟไลน์ การโจมตีด้วยกำลังดุร้ายทางออนไลน์ไม่จำเป็นต้องเกี่ยวข้องกับอินเทอร์เน็ต แต่เป็นการโจมตีประเภทหนึ่งที่กำหนดเป้าหมายโดยตรงไปยังระบบที่กำลังทำงานอยู่ การโจมตีแบบออฟไลน์สามารถทำได้โดยไม่จำเป็นต้องโต้ตอบกับระบบที่ถูกโจมตี

แต่คุณจะโจมตีระบบโดยไม่โจมตีระบบได้อย่างไร การละเมิดข้อมูลมักจะมีรายการชื่อผู้ใช้และรหัสผ่านที่รั่วไหล คำแนะนำด้านความปลอดภัย แนะนำให้จัดเก็บรหัสผ่านในรูปแบบแฮช แฮชเหล่านี้สามารถถอดรหัสได้โดยการเดารหัสผ่านที่ถูกต้องเท่านั้น น่าเสียดายที่ตอนนี้รายชื่อแฮชนั้นเปิดเผยต่อสาธารณะแล้ว ผู้โจมตีก็สามารถดาวน์โหลดรายชื่อและพยายามถอดรหัสบนคอมพิวเตอร์ของตนเองได้ ด้วยเวลาและพลังในการประมวลผลที่เพียงพอ ช่วยให้พวกเขาทราบรายชื่อผู้ใช้และรหัสผ่านที่ถูกต้องด้วยความแน่นอน 100% ก่อนที่จะเชื่อมต่อกับไซต์ที่ได้รับผลกระทบ

การเปรียบเทียบการโจมตีออนไลน์จะพยายามเข้าสู่เว็บไซต์โดยตรง ไม่เพียงช้าลงมากเท่านั้น แต่ยังเห็นได้ชัดเจนจากเจ้าของระบบที่ต้องการดูอีกด้วย ด้วยเหตุนี้ การโจมตีด้วยกำลังเดรัจฉานออฟไลน์จึงเป็นที่ต้องการของผู้โจมตี อย่างไรก็ตาม บางครั้งอาจเป็นไปไม่ได้

ข้อมูลรับรองเดรัจฉานบังคับ

คลาสที่ง่ายที่สุดในการทำความเข้าใจและภัยคุกคามที่พบบ่อยที่สุดคือรายละเอียดการเข้าสู่ระบบที่ดุร้าย ในสถานการณ์นี้ ผู้โจมตีพยายามใช้ชื่อผู้ใช้และรหัสผ่านผสมกันให้มากที่สุดเท่าที่จะเป็นไปได้เพื่อดูว่าอะไรได้ผล ตามที่กล่าวไว้ข้างต้น ในการโจมตีด้วยกำลังเดรัจฉานทางออนไลน์ ผู้โจมตีอาจลองป้อนชื่อผู้ใช้และรหัสผ่านหลายๆ ชุดผสมกันลงในแบบฟอร์มการเข้าสู่ระบบ การโจมตีประเภทนี้สร้างทราฟฟิกจำนวนมากและเกิดข้อผิดพลาดในการพยายามเข้าสู่ระบบที่ล้มเหลว ซึ่งผู้ดูแลระบบอาจสังเกตเห็น ซึ่งจากนั้นอาจดำเนินการเพื่อบล็อกผู้โจมตี

การโจมตีด้วยกำลังเดรัจฉานออฟไลน์หมุนรอบแฮชรหัสผ่านที่ถอดรหัส กระบวนการนี้อยู่ในรูปแบบของการเดาชุดอักขระที่เป็นไปได้ทั้งหมด ด้วยเวลาและพลังในการประมวลผลที่เพียงพอ มันจะถอดรหัสรหัสผ่านใด ๆ ได้สำเร็จโดยใช้รูปแบบการแฮช อย่างไรก็ตาม แผนการแฮชสมัยใหม่ที่ออกแบบมาสำหรับการแฮชรหัสผ่านนั้นได้รับการออกแบบมาให้ "ช้า" และมักจะปรับให้ใช้เวลาหลายสิบมิลลิวินาที ซึ่งหมายความว่าแม้จะมีพลังการประมวลผลจำนวนมาก แต่ก็ต้องใช้เวลาหลายพันล้านปีในการถอดรหัสรหัสผ่านที่ยาวพอสมควร

ในการพยายามเพิ่มโอกาสในการถอดรหัสรหัสผ่านส่วนใหญ่ แฮ็กเกอร์มักจะใช้การโจมตีด้วยพจนานุกรมแทน การดำเนินการนี้เกี่ยวข้องกับการลองใช้รายการรหัสผ่านที่ใช้กันทั่วไปหรือรหัสผ่านที่แคร็กไว้ก่อนหน้านี้ เพื่อดูว่ามีรหัสผ่านชุดปัจจุบันให้เห็นแล้วหรือไม่ แม้จะมีคำแนะนำด้านความปลอดภัยให้ใช้รหัสผ่านที่ไม่ซ้ำ ยาว และซับซ้อนสำหรับทุกสิ่ง แต่โดยทั่วไปแล้วกลยุทธ์การโจมตีด้วยพจนานุกรมนี้ประสบความสำเร็จอย่างมากในการถอดรหัสรหัสผ่านประมาณ 75-95% กลยุทธ์นี้ยังคงใช้พลังในการประมวลผลจำนวนมากและยังคงเป็นประเภทหนึ่งของการโจมตีแบบเดรัจฉาน ซึ่งมีเป้าหมายมากกว่าการโจมตีแบบเดรัจฉานมาตรฐานเพียงเล็กน้อย

การโจมตีด้วยกำลังเดรัจฉานประเภทอื่น

มีวิธีอื่นอีกมากมายที่จะใช้กำลังเดรัจฉาน การโจมตีบางอย่างเกี่ยวข้องกับการพยายามเข้าถึงอุปกรณ์หรือระบบทางกายภาพ โดยปกติผู้โจมตีจะพยายามซ่อนเร้นเกี่ยวกับเรื่องนี้ ตัวอย่างเช่น พวกมันอาจพยายามล้วงกระเป๋าโทรศัพท์อย่างลับๆ ล่อๆ พวกมันอาจพยายามหยิบแม่กุญแจ หรืออาจเปิดประตูท้ายรถผ่านประตูควบคุมการเข้าออก ทางเลือกที่ใช้กำลังเดรัจฉานสำหรับสิ่งเหล่านี้มักจะเป็นตัวอักษรมากโดยใช้กำลังทางกายภาพที่แท้จริง

ในบางกรณีความลับบางอย่างอาจถูกล่วงรู้ การโจมตีด้วยกำลังเดรัจฉานสามารถใช้คาดเดาส่วนที่เหลือได้ ตัวอย่างเช่น ใบเสร็จรับเงินมักจะพิมพ์หมายเลขบัตรเครดิตสองสามหลัก ผู้โจมตีอาจลองผสมตัวเลขอื่นๆ ที่เป็นไปได้ทั้งหมดเพื่อหาหมายเลขบัตรทั้งหมดของคุณ นี่คือสาเหตุที่ตัวเลขส่วนใหญ่ถูกเว้นว่างไว้ ตัวอย่างเช่น ตัวเลขสี่หลักสุดท้ายเพียงพอที่จะระบุบัตรของคุณ แต่ไม่เพียงพอสำหรับผู้โจมตีที่จะมีโอกาสที่ดีในการเดาหมายเลขบัตรที่เหลือ

การโจมตี DDOS เป็นการโจมตีประเภทเดรัจฉาน พวกเขามีเป้าหมายที่จะครอบงำทรัพยากรของระบบเป้าหมาย ไม่สำคัญว่าทรัพยากรใด อาจเป็นพลังงานของ CPU แบนด์วิธของเครือข่าย หรือถึงขีดจำกัดราคาการประมวลผลบนคลาวด์ การโจมตี DDOS แท้จริงแล้วเกี่ยวข้องกับการส่งทราฟฟิกเครือข่ายมากพอที่จะครอบงำเหยื่อ มันไม่ได้ "แฮ็ก" อะไรเลย

บทสรุป

การโจมตีด้วยกำลังดุร้ายเป็นการโจมตีประเภทหนึ่งที่เกี่ยวข้องกับการอาศัยโชค เวลา และความพยายามอย่างเต็มที่ มีการโจมตีด้วยกำลังเดรัจฉานประเภทต่างๆ มากมาย ในขณะที่บางโปรแกรมอาจมีเครื่องมือที่ค่อนข้างซับซ้อนในการดำเนินการ เช่น ซอฟต์แวร์ถอดรหัสรหัสผ่าน แต่การโจมตีนั้นไม่ซับซ้อน นี่ไม่ได้หมายความว่าการโจมตีด้วยกำลังเดรัจฉานเป็นเสือกระดาษ เนื่องจากแนวคิดนี้มีประสิทธิภาพมาก