Come posso rilevare la forzatura bruta a bassa frequenza su più connessioni?

4

Mentre mi rendo conto che i server possono facilmente individuare le strategie di forzatura brute tramite un singolo I.P, sembra che i server siano vulnerabili a un attacco distribuito da una botnet, con ogni computer che tenta una piccola parte dell'elenco delle password a bassa frequenza.

C'è una firma facilmente identificabile per questo tipo di attacchi?

    
posta baordog 11.09.2013 - 19:34
fonte

2 risposte

6

Bassa frequenza rispetto a un accesso specifico:

Monitora in modo che dopo x tentativi su un accesso specifico, puoi provarlo solo dopo x secondi / minuti.

Bassa frequenza rispetto a un accesso specifico, utilizzando CAPTCHA:

Dopo le prove x , inizia a chiedere un CAPTCHA, forse rallentalo dopo x .

Basta notare che rallentare qualche tentativo usando ritardi equivale quasi a abilitare un attacco DOS contro quel login. Se qualcuno tenta di accedere al tuo account e fallisce, finirà per aggiungere un ritardo ai tuoi tentativi e tu, l'utente corretto, potresti annoiarti.

Bassa frequenza rispetto a più accessi:

Se il carico generale del tuo server è aumentato, in modo molto rilevabile, aggiungi CAPTCHA. In caso contrario, la tua unica alternativa individuerà il numero di tentativi compiuti sul tuo sito e dovrai utilizzare nuovamente captcha. O per aggiungere un piccolo ritardo per tutti i tuoi accessi, e questo non farà nulla di buono per gli utenti reali ...

    
risposta data 11.09.2013 - 19:54
fonte
0

Esistono alcune tecniche standard per aiutare con la forzatura anti-bruta - come estendere il ritardo tra il server che rileva un tentativo di accesso fallito e presentare il messaggio di errore all'utente finale, e gradualmente rendere questo ritardo più a lungo se c'è un periodo di alto tasso di fallimento (e reimpostazione del ritardo dopo un periodo di bassa percentuale di fallimento, naturalmente).

Inoltre, una cosa da considerare potrebbero essere i modelli nelle password presentate negli accessi non riusciti. Forza brutale spesso non sceglie password casuali, ma genera automaticamente password da un algoritmo che potresti essere in grado di prevedere o individuare. Ovviamente, sarebbe troppo comodo se si vedesse un pattern in accessi non riusciti con password del pattern 'a', 'aa', 'ab', aab '..' ardvark '...' bestia '.. e così on, o anche seguendo una delle tante 'top 500 password per non usare' liste che sono facilmente disponibili online, ma potrebbe comunque esserci uno schema riconoscibile.

Potresti estenderlo a più nomi utente e solo a guardarne uno.

Potrebbe essere necessario esprimere un giudizio "sfocato".

    
risposta data 12.09.2013 - 10:42
fonte

Leggi altre domande sui tag