本文主要是介绍网络攻击之-暴力破解/密码喷射流量告警运营分析篇,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
本文从暴力破解/密码喷射的定义,暴力破解/密码喷射的流量数据包示例,暴力破解/密码喷射的suricata规则,暴力破解/密码喷射的告警研判,暴力破解/密码喷射的处置建议等几个方面阐述如何通过IDS/NDR,态势感知等流量平台的暴力破解/密码喷射类型的告警的线索,开展日常安全运营工作,从而挖掘有意义的安全事件。
暴力破解/密码喷射定义
暴力破解英文Brute-force attack,即通过尝试可能的密码组合来获取对账户密码,从而获取对于系统和数据的访问权限。暴力破解可以分为本地的暴力破解和远程的暴力破解,暴力破解通常借助自动化的工具,例如远程暴力破解工具包括hydra,本地的暴力破解工具包括hashcat,john the ripper。本文所指的主要是远程的暴力破解,因为远程的暴力破解会产生流量可以从网络侧识别。本地的暴力破解往往在攻击者本地完成,因此无论实在EDR还是NDR都缺乏有效的日志数据。
由于暴力破解会触发账户锁定机制,因此出现了密码喷射的攻击方法,即使用少量的常见密码或凭证,但针对大量的用户名进行登录枚举。白破解和密码喷射虽然都是利用了登录行为,但是其行为上还是存在这一定的差异。
前面的文章分析了弱口令相关的内容,见这里。那么弱口令和暴力破解有什么区别呢?应该说暴力破解是一种手段,往往利用的是弱口令字典进行登录的破解。从攻击的角度看,暴力破解必然涉及弱口令。但是从流量侧防御检测来看,弱密码检测的面要窄一些,因为并不是所有的登录行为都会明文传输密码。因此鉴于之前弱密码已经介绍了的协议,当然对应的协议也适用于暴力破解场景,但是为了
这篇关于网络攻击之-暴力破解/密码喷射流量告警运营分析篇的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
