我应该担心非常慢的字典攻击吗?

信息安全 攻击预防
2021-08-14 09:11:16

我在我的邮件服务器上安装了 fail2ban,日志显示 4-5 个 IP 定期访问我的服务器(因此不足以触发 fail2ban 规则):

2017-10-04 06:29:04,705 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 92.xxx.xxx.11
2017-10-04 07:14:35,674 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 37.xxx.xxx.118
2017-10-04 08:01:29,732 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 37.xxx.xxx.118
2017-10-04 08:08:45,221 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 92.xxx.xxx.11
2017-10-04 08:48:00,802 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 37.xxx.xxx.118
2017-10-04 09:36:07,958 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 37.xxx.xxx.118
2017-10-04 09:48:59,830 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 92.xxx.xxx.11
2017-10-04 10:23:22,123 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 37.xxx.xxx.118
2017-10-04 11:12:03,283 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 37.xxx.xxx.118

IP都是VPS,属于Digital Ocean、OVH等。粗略的计算表明,如果攻击者每 40 分钟检查一次密码,他们将在不到一年的时间内用尽 10 000 字的字典。(不是说我的密码是字典单词,请注意)。我想如果攻击者同时攻击数千台服务器,它可以得到回报。

我应该担心这种类型的攻击吗?

4个回答

只需通过更改监狱规则中的时间间隔来阻止它们。

bantime  = 10800 ;3 hours
findtime  = 86400 ;1 day
maxretry = 5

如果一个攻击者一天失败5次,他将被封锁3个小时,或者你可以根据自己的意愿增加这个数字。

尽可能地预防,以免为时已晚。

粗略的计算表明,如果攻击者每 40 分钟检查一次密码,他们将在不到一年的时间内用尽 10 000 字的字典。(不是说我的密码是字典单词,请注意)。

如果您的密码不是字典单词,那么计算通过字典需要多长时间并不是一个非常有用的计算,是吗?计算暴力破解密码需要多长时间。

鉴于这些信息,请确保在密码被发现之前轮换密码。无论如何,定期执行此操作是一个好习惯,因为密码可能会在各种意想不到的地方泄漏。

既然您已经注意到这种攻击,请随意调整您的 fail2ban 规则以更多地阻止它(如果您不担心收紧它们对合法用户的影响)。然后,您可以在进行“受损时间”计算时考虑新的速度。

我喜欢通过使用在 SkullSec 下载的流行字典文件对自己执行字典攻击来确定字典攻击的威胁。

rockyou.txt 是一个不错的文件,将您当地的运动队附加到它是识别您的字典黑客风险的绝佳方法。

但是以您现在所经历的攻击速度...在他们开始执行其他复杂的分层攻击之前,您可以不那么担心,这可能表明有动机的入侵者专门针对您的站点。

您可能会遇到如下所述的“敲门”攻击:http: //securityaffairs.co/wordpress/63969/hacking/knockknock-attacks-0365.html

它影响了许多公司,所以我不会感到惊讶。

只要您有安全的密码,风险就很低。使用安全密码,即使尝试 100 万次也不应该接近破解它。

您可以阻止有问题的 IP 或报告滥用行为,但不太可能完全阻止它,因为 IP 会发生变化。也不必担心太多。或者,如果 IP 归攻击者所有,而不是某些被黑客入侵的 vps,您可以使用启用 IP 欺骗的服务器并使用 UDP 放大来发起 ddos​​ 攻击 >:)

您可以通过在域控制器上运行 mimikatz 以转储所有密码哈希来测试环境的密码复杂性,然后使用 Hashcat 使用单词列表和规则执行暴力攻击。

其它你可能感兴趣的问题
上一篇可以使用 *only* U2F 身份验证吗? 下一篇有人可以用简单的步骤解释 WPA2-Enterprise 身份验证和加密是如何发生的吗?