بروت فورس چیست ؟
حمله بروت فورس یکی از رایج ترین حملات برای بدست آوردن امکان ورود می باشد و با ارسال و تست تعداد بالایی نام کاربری و رمز عبور بر روی صفحات لاگین وب سایت ها ، صفحه لاگین ایمیل و انواع صفحاتی که برای ورود به حساب کاربری هستند صورت می گیرد و هکر با این روش تمامی عبارت های ممکن را بررسی می کند تا امکان ورود را بدست بیاورد.
آشنایی با این نوع حملات برای تمامی مدیران وب سایت ها و افرادی که دارای رمز عبور و نام کاربری مهم در وب سایتی هستند لازم و ضروری است تا با شناخت این روش ها و نحوه مقابله با آنها وب سایت امن تری داشته باشند. به همین دلیل در این مقاله به مفهوم حمله Brute Force و راهکارهای جلوگیری از آن می پردازیم.
حمله Brute Force چیست؟
بروت فورس / Brute Force یک اصطلاح عمومی برای حملاتی است که هکر ها سعی در یافتن نام کاربری و رمز عبور سایت را دارند. این نوع حمله برای سیستم های مدیریت محتوا (مانند وردپرس و جوملا و …) و سرویس های رایج مانند FTP و SSH شابع است.
راه های بسیاری برای انجام یک حمله Brute Force وجود دارد که رایج ترین روش حملات مبتنی بر دیکشنری (dictionary-based) میباشد. در این روش هکر ها از یک لیست که شامل رمز عبور های رایج یا رمزهایی که در طول سال های قبل با استفاده از آن ها به خیلی از سایت ها نفوذ نموده اند، استفاده کرده و هر رمز را برای نفوذ امتحان می کنند و این کار را تا زمانی که ترکیب صحیح نام کاربری و رمز عبور سایت را کشف کنند ادامه میدهند. بطور کلی امتحان این ترکیب رمز و نام کاربری ها چند دقیقه بیشتر طول نخواهد کشید.
برای یک هکر، استفاده از صفحه Log IN میتواند یکی از بهترین وسیله ها برای سازماندهی یک حمله باشد.( /wp-admin یا /wp-login برای وردپرس و یا administrator برای جوملا) پس برای شناسایی آنها و حملات به وب سایت ها، بدون شک استفاده از روش هایی که به مانیتورینگ این صفحات و تلاش های غیر منطقی برای ورود نام کاربری و رمز عبور کمک میکنند، میتواند مفید باشد.
حفاظت در برابر حملات Brute Force
حفاظت در برابر اینگونه حملات بسیار ساده است و با استفاده از رمز عبور های قوی برای کلیه کاربران سایت و کلیه رمزهای بخش مختلف امکان پذیر خواهد بود. با استفاده از رمز های قوی برای کلیه کاربران حملهBruteForceموفقیت آمیز نخواهد بود.
برای تعیین رمز های قوی می توانید از نرم افزار مدیریت پسورد استفاده کنید و با استفاده از این نرم افزارها رمزهای پیچیده و قوی تولید کنید.
بروت فورس ممکن است عوارض جانبی ناخواسته مانند مشکل در دسترسی به سایت و استفاده بیش از حد منابع و بالا رفتن لود سرور را داشته باشند. همچنین Brute Force به دلیل ارسال درخواست های زیاد در یک زمان به سرور باعث بالا رفتن لود وب سرور و کندی بارگذاری سایت ها میشوند.
توجه داشته باشید حتی اگر به عنوان مثال کلیه کاربران رمز عبور قوی استفاده کنند اما در این بین یک حساب کاربری موقت یا تست دارای رمز ضعیفی باشد، همین یک اکانت نیز خطرناک خواهد بود. این رمز ممکن است توسط توسعه دهنده سایت یا مسئول بکاپ گیری و یا هر فرد دیگری تعیین شده باشد و ممکن است بصورت آزمایشی تعیین شده و قصد داشته باشد اکانت را حذف کند اما فراموش کرده، اما اثرات این فراموشی خطرناک می باشد.
جلوگیری از حملات Brute Force
۱–استفاده از رمز عبور قوی: این اولین خط دفاع و تنها راه برای جلوگیری از حمله موفقیت آمیز است.
۲–محدود نمودن دسترسی به لینک های احراز هویت: در صورتی که شما از رمز های قوی استفاده کنید، باز هم هکرها لینک های احراز هویت سایت شما را مورد هدف قرار می دهند، آنها تلاش می کنند اما موفق نمی شوند و اما این تلاش های نافرجام باعث بروز مشکلاتی مثل بالا رفتن لود سرور و کندی سرعت بارگذاری سایت شما خواهد شد.
جهت رفع و جلوگیری از چنین مشکلی توصیه می کنیم در فایلhtaccessدسترسی به صفحات لاگین را به آدرسip محدود کنید، در صورتی که ازipاستاتیک استفاده می کنید، دسترسی را بهipاستاتیک و در غیر اینصورت می توانید به محدوده رنج سرویس دهنده اینترنت خود، تعیین نمایید.
بعنوان مثال در صورتی که از وردپرس استفاده می کنید، تغییرات برای فایلhtaccess به صورت زیر خواهد بود:
<Files /wp-login>
order deny,allow
allow from MYIP
allow from MYIP2
deny from all
</Files>
شما می توانید همین تغییر را برای هر URL احراز هویت مربوط به مدیریت محتوا یا سایت خود اعمال نمائید.
۳–استفاده از Captcha: کد تصویر امنیتی(captcha) قبل از ورود به سیستم یک راه قدرتمند برای کم کردن سرعت تلاش حملات Brute Force است و استفاده از آن را مخصوصا در زمانیکه امکان محدودیتipذکر شده وجود ندارد، توصیه می کنیم. استفاده از تصویر امنیتی به خصوص در سایت های ثبت نام به منظور کاهش میزان اسپم و ربات ها مفید می باشد.
برای جلوگیری از بروت فورس، یک پلاگین محبوب وردپرسیCatpcha Bank است که علاوه بر امکان محدود کردن تعداد لاگین ها، قابلیت درج کپچا برای کامنت ها، فرم های تماس و… را نیز دارا است.
دانلود این پلاگین
۴–تایید هویت دو مرحلهای(۲FA): تایید هویت دو مرحلهای لایهی امنیتی مضاعفی را برای حسابهای کاربری آنلاین شما به وجود میآورد و در کاهش میزان احتمال موفقیت این حمله بسیار موثر خواهد بود.
بیاد داشته باشید شما نمی توانید که این تلاش ها را متوقف کنید اما می توانید جلوی موفقیت آمیز بودن این حملات را بگیرید