حمله بروت فورس

حمله بروت فورس یکی از رایج‎ترین حملات هکرها در دنیای مجازی است که رمز عبور یا همان گذرواژه کاربران را مورد حمله قرار می‌دهد. این رمز عبور می‎تواند یک رمز عبور ساده در یک آموزشگاه و مدرسه یا رمز عبور حساب بانکی باشد. اگر شما نیز در دنیای مجازی و در سایت‌های مختلف رمز عبور دارید، خواندن این مقاله قطعا برای شما مفید خواهد بود.

دسترسی سریع به محتوای این مقاله [پنهان]

  • 1 حمله بروت فورس به زبان ساده
  • 2 حمله بروت فورس چگونه انجام می‌شود؟
  • 3 اهداف هکرها از حملات Brute Force چیست؟
  • 4 سرقت اطلاعات شخصی
  • 5 سود بردن از تبلیغات و داده‌ها
  • 6 پخش بدافزار برای اختلال در سایت
  • 7 از بین بردن اعتبار محتوای یک سایت
  • 8 در اختیار گرفتن دستگاه و پسورد شما برای فعالیت‌های مورد نظر
  • 9
  • 10 انواع روش‌های حمله بروت فورس
  • 11 حملات بروت فورس ساده
  • 12 حمله دیکشنری
  • 13 حمله بروت فورس وارونه
  • 14 حمله بروت فورس هیبریدی
  • 15 حمله دستکاری اعتباری
  • 16 ابزارها و نرم افزارهای مورد استفاده در حمله Brute Furce
  • 17 نرم افزار Jon the Ripper
  • 18 نرم افزار Aircrack-ng
  • 19 نرم افزار Rainbow Crack
  • 20 نرم افزار Ophcrack
  • 21 نرم افزار Hashcat
  • 22 روش‌های جلوگیری از حملات بروت فورس
  • 23 محدود کردن تعداد پسوردهای اشتباه
  • 24 استفاده از رمزهای یک بار مصرف
  • 25 استفاده از رمزهای ورود چند مرحله‌ای
  • 26 روش‎هایی که توسط کاربران باید انجام شود
  • 27 استفاده از کاراکترهای مختلف
  • 28 استفاده از کلمات نامرتبط
  • 29 از حروف نام کاربری خود استفاده نکنید
  • 30
  • 31 عدم استفاده از عبارات رایج و یا اطلاعات شخصی
  • 32 عدم استفاده از گذرواژه‌های یکسان برای سایت‌های مختلف
  • 33 کلام آخر

 

حمله بروت فورس
حمله بروت فورس به زبان ساده

همان طور که در قسمت مقدمه نیز توضیح داده شد، در این حملات هکرها به دنبال آن هستند که نام کاربری و یا گذرواژه شما را حدس زده و آن را هک کنند. طبیعی است که اگر هکرها به این اطلاعات دسترسی پیدا کنند، به راحتی می‎توانند وارد سیستم اطلاعاتی شما در آن سایت شده و کارهای مختلفی انجام دهند. برای مثال اگر یک هکر بتواند نام کاربری و رمز عبور شما را در سایت یک بانک هک کند، می‎تواند وارد صفحه کاربری شما شده و در یک لحظه بدون آن که خودتان متوجه شوید تمام پول‌های حساب شما را به حسابی دیگر منتقل کند.
شاید برایتان جالب باشد که از میان میلیاردها رمز عبوری که برای سایت‎های مختلف در جهان وجود دارد، تنها 19 درصد آن‌ها رمزهای قوی هستند و 81 درصد باقی مانده گذرواژه ‎هایی با امنیت ضعیف هستند. برای مثال گذرواژه‌هایی که تنها از اعداد یا تنها از حروف ساخته شده‌اند، گذرواژه‌هایی که در آن نام افراد و یا شماره تماس آن‌ها است جز رمزهای عبور ضعیف شمرده خواهد شد. طبیعی است که در یک حمله Brute Furce گذرواژه‌های ضعیف تر در مقایسه با گذرواژه‌های 19 درصدی آسیب پذیرتر خواهند بود.
سایت علی بابا یکی از معروف‌ترین سایت‌هایی است که در سال 2016 توسط یک حمله همه جانبه هکرها قرار گرفت و هکرها توانستند حدود 20 میلیون اکانت کاربر را هک کنند! هکرها با ورود به حساب کاربران نظرات غیر واقعی و منفی مختلفی می‌نوشتند، اقدام به خرید کالاهای مختلف توسط کاربران کرده و در آن مدت عملکرد سایت را با اختلال مواجه کردند.

 

حمله بروت فورس

 

حمله بروت فورس چگونه انجام می‌شود؟

تا اینجای کار متوجه این مساله شدیم که حمله بروت فورس دقیقا چیست و چه کاری انجام می‌شود. اکنون این سوال برای شما پیش خواهد آمد که این حمله چگونه انجام خواهد شد؟ به زبان ساده باید به شما بگوییم که حمله Furce Brute حمله ای است که حدس زدن گذر واژه یا رمز عبور کاملا به صورت تصادفی انجام شده و الگوریتم خاصی برای پیدا کردن کد و رمز ندارد. یعنی چگونه؟ تصور کنید که رمز عبور شما در یک سایت تنها یک رقم است(که البته همه ما می دانیم که رمزهای عبور حداقل 4 رقمی هستند). هکرها با روش آزمون خطا تمامی 10 رقم ممکن را امتحان کرده تا رمز عبور شما را پیدا کنند.
اکنون احتمالا با خودتان می‌گویید که حدس زدن رمزهای عبور 8 رقمی شما که ترکیبی از اعداد و حروف است توسط هکرها غیر ممکن است، بنابراین شما هیچ گاه مورد حمله بروت فورس قرار نخواهید گرفت! در پاسخ به شما باید بگوییم بله محاسبه میلیون‎ها حالت ممکن از یک رمز عبور بدون شک برای هکرها غیر ممکن است، اما هکرها از ابر کامپیوترهایی استفاده می‌کنند که تنها با چند خط برنامه نویسی می‌توانند با توجه به کارکترهای موجود تمامی رمزهای عبور احتمالی را تخمین زده تا بتوانند رمز عبور واقعی شما را پیدا کنند!
شاید برایتان جالب باشد که بدانید حدس زدن تمامی حالت‌های ممکن یک رمز عبور 8 کاراکتری از حروف و اعداد توسط انسان 218تریلیون ثانیه یا حدود 7 میلیون سال طول خواهد کشید! بنابراین همان طور که در بالا نیز اشاره شد، حمله بروت فورس باید توسط ابر کامپیوترها انجام شود.
در واقع می‌توان گفت تفاوت این روش هک با روش‌های هک دیگر آن است که بروت فورس استراتژی خاص و پیچیده ای را برای پیدا کردن اطلاعات کاربران مورد استفاده قرار نمی‌دهد. بلکه با یک الگوریتم ساده اما با تکرارهای فراوان میلیونی و میلیاردی می‌تواند اطلاعات را هک کند.

 

حمله بروت فورس

 

اهداف هکرها از حملات Brute Force چیست؟

در بخش‌های بالا به طور کلی به حمله بروت فورس، چگونگی انجام آن و ابزارها روش‌های مورد استفاده آشنا شدیم. در این بخش می‌خواهیم بدانیم که هکرها از اجرای این حملات دنبال چه اهدافی هستند؟

سرقت اطلاعات شخصی

یکی از مهم‌ترین اهداف هکرها از یک حمله بروت فورس دسترسی به اطلاعات شخصی کاربران است. این اطلاعات می‌تواند اطلاعات شخصی یا اطلاعات مربوط به حساب‌های بانکی و کارت‌های اعتباری باشد.

سود بردن از تبلیغات و داده‌ها

یکی دیگر از اهداف هکرها در اجرای عملیات حمله بروت فورس آن است که درآمد سایت‌ها از تبلیغات را به سرقت ببرند. هکرها می‌توانند این کار را به چند شکل مختلف انجام دهند:
⦁ فعالیت‌های یک سایت و کاربران آن را بررسی کرده و اطلاعات آن را به شرکت‌های تبلیغاتی بفروشند.
⦁ ترافیک سایت را به یک سایت مشخص برای دریافت پورسانت هدایت کنند.
⦁ تبلیغات اسپم را برای افزایش نرخ کلیک و کسب درآمد در سایت قرار دهند.

پخش بدافزار برای اختلال در سایت

گاهی اوقات هکرها برای اجرای حمله بروت فورس به دنبال اهداف مالی نیز نیستند! بلکه تنها دوست دارند مهارت و توانایی خود را با اختلال در یک سایت به رخ بکشند! برخی دیگر از هکرها نیز از روش بورتفورس به عنوان یک دست گرمی برای حملات بزرگ تر استفاده می‌کنند.

 

حمله بروت فورس

 

از بین بردن اعتبار محتوای یک سایت

گاهی اوقات هکرها به دلایل مختلفی به دنبال آن هستند که اعتبار یک سایت را از بین ببرند. در این روش با هک کردن سایت با روش بروت فورس می‎توانند به محتواهای قرار داده شده در سایت دسترسی پیدا کرده، آن را تغییر داده و محتواهای مورد نظر خودشان را در سایت منتشر کنند. این محتوا می‌تواند فیلم، عکس یا صوت‌های غیر اخلاقی، خشونت آمیز، سیاسی یا نژاد پرستانه باشد.

در اختیار گرفتن دستگاه و پسورد شما برای فعالیت‌های مورد نظر

یکی دیگر از اهداف هکرها برای اجرای حمله Brute Force آن است که حساب کاربری و یا حتی سیستم شما را در اختیار گرفته و از آن برای دستیابی به اهداف پلید خود استفاده کنند.

 

حمله بروت فورس

 

انواع روش‌های حمله بروت فورس

حملات بروت فورس با توجه به اطلاعات در دسترس و نوع رمزنگاری گذرواژه‌ها به روش‌های مختلفی انجام می‌شود که در ادامه کمی بیشتر با آن‌ها آشنا خواهیم شد.

حملات بروت فورس ساده

این نوع حمله سایبری تنها توسط ابر کامپیوترها انجام شده و هکرها از ابزارها و نرم افزارهای دیگر برای هک استفاده نمی‌کنند. بدیهی است که این حمله برای گذرواژه‌های کوتاه و ضعیف مورد استفاده قرار می‌گیرد.

حمله دیکشنری

همان طور که از نام این حمله پیدا است، هکر به یک اطلاعات قبلی از رمزهای عبور احتمالی دسترسی دارد. در واقع هکر بر روی یک نام کاربری خاص تمرکز کرده و به کمک دیکشنری یا همان لیست حالت‌های ممکن که از قبل موجود است، رمز عبور را هک می‌کند. برای مثال اگر شما رمز عبور خود را از میان اعداد 1تا 5 انتخاب کنید، تمامی 2493390 حالت ممکن این رمز عبور از قبل در یک دیکشنری موجود بوده و هکرها می‌توانند به راحتی با روش حمله بروت فورس دیکشنری رمز عبور شما را هک کنند.

حمله بروت فورس وارونه

روش انجام این حمله کاملا برعکس روش بالا است. به این ترتیب که هکر بر روی نام کاربری خاصی تمرکز نکرده بلکه یک فهرست از گذرواژه‎های رایج را بررسی کرده و آن را با میلیون‌ها و یا حتی میلیاردها نام کاربری تطبیق می‌دهد. تکرار این کار تا زمانی انجام می‌شود که کامپیوتر بتواند گذرواژه‌ها را با نام‌های کاربری تطبیق دهد.
هکرها با حمله به سایت‌های مختلف فهرستی از گذرواژه‎های کاربران آن سایت را سرقت کرده و در سایت دارک وب منتشر می‌کنند! از این رو هکرانی که به دنبال حمله بروت فورس وارونه هستند در این سایت به فهرست قابل توجهی از گذرواژه‌های موجود دسترسی پیدا کرده و می‌توانند یک حمله وارونه تمام عیار را اجرا کنند!

 

حمله بروت فورس

 

حمله بروت فورس هیبریدی

این نوع از حمله سایبری برای دسترسی به گذرواژه‌های سخت و پیچیده مورد استفاده قرار می‌گیرد. در این حمله هکرها از نرم افزارها و ابزارهای مختلفی برای پیدا کردن رمزهای عبور استفاده می‌کنند تا عملیات حمله با سرعت بسیار بیشتری انجام شود.

حمله دستکاری اعتباری

اغلب افراد از یک ترکیب خاص برای گذرواژه‌های خود در سایت‌های مختلف استفاده می‌کنند. برای مثال یک فرد ممکن است تمامی گذرواژه‌هایش به این شکل باشد که از یک حرف بزرگ چند حرف کوچک و چند عدد استفاده کند. در صورتی که هکرها بتوانند به این ترکیب درست از گذرواژه و یا رمز عبور و نام کاربری برسند، این ترکیب به دست آمده را در سایت‌های دیگر نیز امتحان می‌کنند. اگر شما نیز از یک رمز یکسان یا یک ترکیب یکسان برای رمزهای عبور مختلف استفاده می‌کنید، احتمالا می‌توانید طعمه خوبی برای حمله بروت فورس دستکاری اعتباری باشید!

ابزارها و نرم افزارهای مورد استفاده در حمله Brute Furce

همان طور که در بالا نیز اشاره شد یک هکر برای حمله بروت فورس به یک ابر کامپیوتر نیاز دارد و حتی کامپیوترهای معمولی نیز نمی‌تواند به اهداف مورد نظر دسترسی پیدا کند. هکرها قدرت پردازش cpu را با قدرت گرافیکی سیستم ترکیب کرده  تا کامپیوتر بتواند سرعت پردازش خود را تا 250 برابر افزایش دهد. برای مثال برای حدس زدن یک رمز عبور 6 کاراکتری که ترکیبی از اعداد و حروف است 2 میلیارد ترکیب ممکن وجود دارد که اگر هکر از یک کامپیوتر با cpu قوی نیز استفاده کند پیدا کردن رمز عبور حدود 2 سال طول می‌کشد زیرا کامپیوتر می‌تواند در هر ثانیه حدود 30 رمز مختلف را امتحان کند. در صورتی که هکر از سیستمی با ادغام گرافیک و cpu استفاده کند، این زمان به 3 روز و نیم کاهش پیدا می‌کند!
علاوه بر ادغام کردن بخش‌های مختلف کامپیوتر، هکرها از نرم افزارها و برنامه‌هایی نیز استفاده می‌کنند که به آن‌ها کمک می‌کند که بتوانند حملات بروت فورس خود را  با سرعت بیشتری انجام دهند. در ادامه با برخی از آن‌ها آشنا خواهیم شد.

نرم افزار Jon the Ripper

این نرم افزار رایگان بوده و ابتدا تنها در سیستم های یونیکس مورد استفاده قرار می‌گرفت اما بعد از مدت کوتاهی نسخه‌های دیگر آن برای راس، ویندوز، بی اواس و غیره نیز به بازار عرضه شد. این ابزار می‌تواند رمزهای عبور ضعیف را شناسایی کرده و یا آن‌ها را کرک کند.
این نرم افزار می‌تواند به طور خودکار نوع هش (در هم ریختگی) استفاده شده در گذرواژه را تشخیص داده و از چندین ابزار برای کرک کردن رمز عبور استفاده کند. بنابراین می‌توان گفت حتی رمزهای عبور رمز نگاری شده و یا هش شده هم در برابر این نرم افزار چندان مطمئن نیستند. این نرم افزار با سرعت قابل توجهی می‌تواند تمامی حالت‌های ممکن رمزهای عبور شامل کاراکترهای مختلف را مورد بررسی قرار داده و به هکرها برای دستیابی به هدف حمله بروت فورس کمک کند. این نرم افزار بیشتر در حملات بروت فورس از نوع دیکشنری مورد استفاده قرار می‌گیرد.

 

حمله بروت فورس

 

نرم افزار Aircrack-ng

یکی از معروف‌ترین نرم افزارهایی که در حملات Brute Furce از نوع دیکشنری مورد استفاده قرار می‌گیرد، نرم افزار Aircarck-ng است. میزان موفقیت این ابزار به دیکشنری که اطلاعات در آن وجود دارد وابسته است. هرچه دیکشنری آن قوی تر و به روزتر باشد، احتمالا هک یا کرک شدن رمز عبور بیشتر خواهد بود. این ابزار می‌تواند بر روی سیستم های لینوکس و ویندوز، اندروید و ios مورد استفاده قرار گرفته و برای تعیین میزان امنیت اتصال وایرلس نیز به کار برود.

 

حمله بروت فورس

 

نرم افزار Rainbow Crack

نرم افزار دیگری که هکرها در حمله بروت فورس از آن استفاده می‌کنند این نرم افزار است. نرم افزار رین بو می‌تواند کدهای هش را شکسته و برای حملات Brute Furce مورد استفاده قرار گیرد. تفاوت اصلی این ابزار سرعت بیشتر آن نسبت به ابزارهای دیگر است. این نرم افزار از جدول‌های رنگین کمانی که از قبل وجود دارد استفاده می‌کنند تا زمان تخمین رمزهای عبور را به شکل چشمگیری کاهش دهند. جدول‌های رنگین کمانی توسط سازمان‌های مختلف برای استفاده کاربران در اینترنت منتشر خواهد شد. این نرم افزار نسخه‌های لینوکس و ویندوز را پشتیبانی می‌کند.

نرم افزار Ophcrack

یک نرم افزار دیگر که برای هک کردن گذرواژه‌ها در سیستم‌های ویندوزی به کار می‌رود. سیستم‌های عامل ویندوز در هر سایت رمز عبور کاربران خود را در یک فایل به نام SAM و با یک الگوریتم به نام LM هش کرده و ذخیره می‌کند. این فایل دارای امنیت بالایی است و کاربران در حالت عادی نمی‌توانند آن را کپی کرده و به آن دسترسی پیدا کنند. اما یک هکر حرفه‌ای با استفاده از نرم افزار Ophcrack می‌تواند به این فایل دسترسی پیدا کرده و سایت را مورد حمله بروت فورس قرار دهد.
این ابزار به طور پیش فرض جدول‌های رنگین کمانی را در حافظه خود دارد و می‌تواند رمزهای عبور تا 14 کاراکتر را در زمان بسیار کوتاهی کرک کند. این نرم افزار متن باز و رایگان است و قابلیت اجرا بر روی ویندوز و لینوکس را دارد.

نرم افزار Hashcat

این نرم افزار را می‌توان یکی از سریع‌ترین ابزارها در زمینه حمله بروت فورس دانست. این ابزار از الگوریتم‌های هش مختلفی مانند LM، MD4 و یا MD5 استفاده می‌کند و می‌تواند در حملات مختلف بروت فورس از نوع ساده، دیکشنری، ترکیبی و غیره مورد استفاده قرار بگیرد. این نرم افزار برخلاف انواع دیگر کاربردهای قانونی بسیاری مانند تشخیص آسیب پذیری سیستم‌های سازمانی دارد اما در استفاده از آن برای حملات سایبری غیر قانونی است.

 

حمله بروت فورس

 

روش‌های جلوگیری از حملات بروت فورس

برای جلوگیری از بروز حملات بروت فورس هم کاربران و هم صاحبان سایت می‌توانند اقدامات مختلفی انجام دهند تا از بروز مشکلات هک جلوگیری کنند. در ادامه با برخی از این روش‌ها بیشتر آشنا خواهیم شد.

روش‌هایی که باید توسط سایت‌ها انجام شود

محدود کردن تعداد پسوردهای اشتباه

برای آن که به عنوان طراح و مسئول سایت بتوانید احتمال حمله بروت فورس را به حداقل برسانید، می‌توانید تعداد رمزهای اشتباه وارد شده توسط کاربران را محدود کنید. برای مثال اگر یک کاربر بیش از 5 بار رمز ورود اشتباه را وارد سایت کرد، دسترسی به آن مسدود شود.

استفاده از رمزهای یک بار مصرف

رمزهای یک بار مصرف همان رمزهایی هستند که امروزه برای تراکنش‌های بانکی مورد استفاده قرار گرفته و توانسته است تا حد زیادی از هک شدن سیستم‌های بانکی جلوگیری کند. در واقع کاربران برای هر ورود می‌توانند از یک رمز عبور یک بار مصرفی که با پیامک برای آن‌ها ارسال می‌شود، استفاده کنند.

 

حمله بروت فورس

 

استفاده از رمزهای ورود چند مرحله‌ای

برخی دیگر از سایت‌ها با امنیت بالا از روش‌های ورود چند مرحله‌ای استفاده می‌کنند. برای مثال رمز اولیه می‌تواند یک کاراکتر چند رقمی باشد و روز ورود دوم اثر انگشت، چهره و یا ارسال پیامک باشد.

 

روش‎هایی که توسط کاربران باید انجام شود

استفاده از کاراکترهای مختلف

یکی از مهم‌ترین اقداماتی که کاربران برای جلوگیری از هک شدن توسط هکرها باید انجام دهند آن است که رمز عبور خود را متشکل از کاراکترهای مختلف مانند اعداد، حروف و نشانه‌ها انتخاب کنند. چنین رمزهای عبوری جز رمزهای عبور قوی به شمار رفته و هک کردن آن سخت خواهد بود.

استفاده از کلمات نامرتبط

آیا به ذهن یک هکر می‌رسد که رمز عبور شما ماشین سخنگو12 است؟! احتمال آن بسیار کم است. از این رو از دیگر اقداماتی که برای داشتن یک رمز عبور قوی می‌توانید انجام دهید آن است که از کلمات بی ربط به هم استفاده کنید.

از حروف نام کاربری خود استفاده نکنید

یکی از اشتباهات رایج افراد در تعیین گذرواژه آن است که رمز عبور خود را مانند نام کاربری با یک تغییر جزئی انجام می‌دهند. برای مثال اگر نام کاربری پدرام کاووسی است، گذرواژه آن را پدارم کاوسی 81 انتخاب می‌کنند. این نوع از گذرواژه‌ها توسط هکرها به راحتی قابل هک شدن هستند.

 

حمله بروت فورس

 

عدم استفاده از عبارات رایج و یا اطلاعات شخصی

اگر یادآوری گذواژه برایتان سخت است می‌توانید آن را در نت گوشی خود ذخیره کنید. این کار بهتر از آن است که از عبارات رایج مانند اعداد متوالی یا شماره تلفن همراه خود استفاده کنید. هک شدن این نوع از گذرواژه‌ها نیز برای هکران بسیار ساده است!

عدم استفاده از گذرواژه‌های یکسان برای سایت‌های مختلف

همان طور که در بالا نیز اشاره شد، هکرها در حملات بروت فورس به دنبال الگوهای تکراری هستند و با پیدا کردن آن می‎توانند به دیگر رمزهای شما نیز دسترسی پیدا کنند. از این رو سعی کنید برای سایت‌ها و اپلیکیشن‌های مختلف خود یک رمز عبور نداشته باشید.

 

کلام آخر

حمله بروت فورس یکی از حملات رایج سایبری است که هکرها در آن رمزهای عبور و نام کاربری کاربران را مورد حمله قرار می‌دهند. هکرها با استفاده از نرم افزارهای مختلف با روش آزمون و خطا میلیون‌ها حالت ممکن از کاراکترهای مختلف را مورد بررسی قرار داده تا به رمز عبور شما دسترسی پیدا کنند. در این مقاله با روش‌های اجرای این حمله و راه‌های جلوگیری از بروز آن آشنا شده‌ایم.

 

منبع: مدیر وب

۰ ۰