本文从暴力破解/密码喷射的定义,暴力破解/密码喷射的流量数据包示例,暴力破解/密码喷射的suricata规则,暴力破解/密码喷射的告警研判,暴力破解/密码喷射的处置建议等几个方面阐述如何通过IDS/NDR,态势感知等流量平台的暴力破解/密码喷射类型的告警的线索,开展日常安全运营工作,从而挖掘有意义的安全事件。
暴力破解/密码喷射定义
暴力破解英文Brute-force attack,即通过尝试可能的密码组合来获取对账户密码,从而获取对于系统和数据的访问权限。暴力破解可以分为本地的暴力破解和远程的暴力破解,暴力破解通常借助自动化的工具,例如远程暴力破解工具包括hydra,本地的暴力破解工具包括hashcat,john the ripper。本文所指的主要是远程的暴力破解,因为远程的暴力破解会产生流量可以从网络侧识别。本地的暴力破解往往在攻击者本地完成,因此无论实在EDR还是NDR都缺乏有效的日志数据。
由于暴力破解会触发账户锁定机制,因此出现了密码喷射的攻击方法,即使用少量的常见密码或凭证,但针对大量的用户名进行登录枚举。白破解和密码喷射虽然都是利用了登录行为,但是其行为上还是存在这一定的差异。
前面的文章分析了弱口令相关的内容,见这里。那么弱口令和暴力破解有什么区别呢?应该说暴力破解是一种手段,往往利用的是弱口令字典进行登录的破解。从攻击的角度看,暴力破解必然涉及弱口令。但是从流量侧防御检测来看,弱密码检测的面要窄一些,因为并不是所有的登录行为都会明文传输密码。因此鉴于之前弱密码已经介绍了的协议,当然对应的协议也适用于暴力破解场景,但是为了
![[Angular] 笔记 19:路由参数](https://img-blog.csdnimg.cn/direct/3a0ec47eb8d846639330f1877bdb22d4.png)
![[蓝桥杯2022省赛] X 图形](https://img-blog.csdnimg.cn/direct/d93423aacad84e6d89ebdc3bd463ab5d.png)