蛮力攻击是什么？蛮力攻击有哪些类型？

蛮力攻击听起来像是一个军事术语，其实不然。事实上，这是一种老旧又不太复杂的攻击方式，黑客至今仍在使用它成功进行攻击。然而，蛮力攻击是什么？您又要如何保护自己抵御蛮力攻击？继续阅读，了解关于蛮力攻击的所有资讯。

蛮力攻击是一种流行的破解方法，据统计，蛮力攻击占已确认的安全漏洞的5%。蛮力攻击涉及「猜出」使用者名称和密码，以便能未经授权存取系统。蛮力攻击是一种简单的攻击方法，并且有很高的成功率。

一些攻击者会使用应用程式和脚本作为蛮力攻击的工具。这些工具会尝试无数种密码组合，以便略过身份验证流程。在其他情况下，攻击者会试图透过搜寻正确的工作时段ID，来存取网页应用程式。攻击者的动机可能包含窃取资讯、利用恶意软件感染网站或中断服务。

虽然有些攻击者仍在手动执行蛮力攻击，但如今几乎所有的蛮力攻击都是由机器人执行的。攻击者拥有透过安全漏洞或是暗网所取得的常用凭证，或真实使用者凭证清单。机器人会系统性地攻击网站，尝试这些凭证清单，并在取得存取权限后通知攻击者。

进行蛮力攻击需要足够的耐心，因为攻击者可能需要数月甚至是数年的时间才能成功破解密码或是加密金钥。然而，潜在收益非常惊人。以下是黑客使用蛮力攻击的动机。

利用广告或活动资料

黑客可能会对一个或多个网站发动蛮力攻击，以赚取广告佣金。常见的方法包含：

• 在热门网站上投放垃圾广告，每次点击或浏览广告都能让攻击者牟利。
• 将合法网站的流量重新路由到非法委托的广告网站。
• 使用间谍软件等恶意软件感染网站和网站的访客，追踪其活动。然后在未经使用者同意的情况下，将收集到的资料出售给广告商。

窃取个人资料

黑入使用者的个人帐户可以为攻击者提供一个资料宝库，从财务资料和银行帐户到机密医疗资讯都可能包含在内。透过存取帐户，攻击者可以伪造某人的身份、窃取钱财、向第三方出售凭证，或利用这些资讯发动更大规模的攻击。

只要攻击者存取企业组织的敏感资料库，个人资料和登入凭证也可能透过企业资料外泄而被盗。

传播恶意软件

蛮力攻击往往并非针对个人。黑客可能只是想制造混乱，展示其恶意技巧。他们可能会透过电子邮件或简讯服务（SMS）传播恶意软件，将恶意软件隐藏在伪装成合法网站的网站中，或是将网站访客重新导向到恶意网站。

利用恶意软件感染使用者的电脑，攻击者就可以进入已连线的系统和网络，对组织发动更大规模的网络攻击。

劫持系统进行恶意活动

蛮力攻击可以在恶意份子使用多台装置发起更大规模的攻击（亦称僵尸网络）中发挥关键作用。这通常是一种分散式阻断服务（DDoS）攻击，目的是削弱目标的安全防御和系统。

破坏公司或网站的声誉

蛮力攻击通常是为了窃取企业组织的资料而发起的，这不仅会让企业付出高昂的经济代价，还会导致其声誉毁损。网站也可能成为攻击的目标，让其充斥着淫秽或是具攻击性的文字和图片，进而诋毁网站的声誉，导致网站被迫关闭。

目前有各种类型的蛮力攻击方法，可让攻击者取得未经授权的存取权限，并窃取使用者资料。

当黑客试图在不使用任何软件的情况下，手动猜测使用者的登入凭证时，就是简单蛮力攻击。这通常是透过标准密码组合或个人辨识码（PIN）代码所实现的。

这类攻击之所以简单就能实行，是因为许多人仍在使用如「password123」或「1234」等若密码，或有着糟糕的密码习惯，例如在多个网站上使用相同的密码。黑客也可以猜出密码，他们只需作最低限度的侦查工作就可以破解个人的潜在密码，比如受害者最喜欢的球队名字。

反向蛮力攻击系指攻击者使用已知的密码开始攻击，该密码通常是藉由网络漏洞所发现的。黑客使用该密码，使用数百万使用者名称清单搜寻匹配的登入凭证。攻击者还可以使用常用的若密码，如「password123」，在使用者名称资料库中搜寻匹配的使用者名称。

字典攻击是蛮力攻击的一种基本形式，攻击者会选择一个目标，然后根据该目标的使用者名称测试可能的密码。技术上来说，此种攻击方法本身并不属于蛮力攻击，但其在不法份子破解密码的过程中扮演着重要角色。

「字典攻击」这一名称的由来为黑客翻阅字典，并使用特殊符号和数字修改字词。与更新且更有效的攻击方法相比，此种类型的攻击通常耗时且成功率较低。

凭证填充利用的是使用者不良的密码习惯。攻击者收集他们窃取的使用者名称和密码组合，然后在其他网站上进行测试，看看是否可以存取其他使用者帐户。如果使用者使用相同的名称和密码组合，或在各种帐户和社群媒体设定档中重复使用密码，此种方法就会成功。

混合蛮力攻击系指黑客将字典攻击方法与简单蛮力攻击相结合。首先，黑客要知道某个使用者名称，然后使用字典攻击和简单蛮力攻击方法找出帐户登入组合。

攻击者从潜在的字词清单开始，然后尝试使用符号、字母和数字组合来找到正确的密码。透过这种方法，黑客可以找出将常用或流行字词与数字、年份或随机符号组合在一起的密码，例如「SanDiego123」或「Rover2023」。

假设您的密码只有两位数。这表示黑客只要尝试100 种可能的密码组合。他们可以手动输入这些可能的密码，这可能会很耗时，但并非不可能。然而，现代网站要求更复杂的密码——至少8 个字元，包含大小写字母。这样的密码有数百万种可能的组合，要想随机「猜出」几乎是不可能的。

这就是为什么黑客会使用专门的软件，其每秒可尝试数千种密码组合，如果您的密码只包含几个字元，这类软件几秒钟就能猜出答案。但是，如果您选择的是长达16 字元的随机密码，软件可能需要好几年才能猜中。

如今，大多数网站还添加了额外的安全措施，如密码杂凑和加密，来保护您的资讯。这意味着您的密码永远不会以明文形式保存。因此，即使密码真的外泄了，黑客还得先经历如天文数字般的无数尝试，才能猜出加密金钥并取得您的密码。

猜测使用者的电子邮件或社群媒体网站密码是一个耗时的过程，尤其是在帐户具有高强度密码的情况下。为了简化此一过程，黑客开发了软件和工具来协助他们破解密码。

蛮力攻击工具包含密码破解应用程式，这些应用程式可以破解一个人极难自行破解的使用者名称和密码组合。常用的蛮力攻击工具包含：

• Aircrack-ng：一套评估Wi-Fi网络的安全工具，用于监测和导出资料，并透过伪造存取点和资料包植入等方法攻击组织。
• John the Ripper：一款开源密码还原工具，可支援数百种密码和杂凑类型，包含macOS、Unix 和Windows、资料库伺服器、网页应用程式、网络流量、加密私钥和文件档案的使用者密码。

这类软件可以快速猜出被视为是弱密码的组合，并破解多种电脑通讯协定、无线数据机和加密储存装置。

蛮力攻击还需要大量的计算能力。为了应对此种情况，黑客开发了简化此过程的硬件解决方案，例如，将装置的中央处理器（CPU）和图形处理器（GPU）结合起来。增加GPU 的计算核心使系统能够同时处理多项任务，黑客破解密码的速度也会大幅增快。

密码的安全性在很大程度上取决于网站管理员储存密码的方式，或是密码易受攻击和外泄的程度。网页管理员也可透过在尝试失败一定次数后锁定帐户、加密密码、降低登入尝试率或使用加盐杂凑演算法（如bcrypt）等方法来提高黑客攻击的难度。遗憾的是，您无法控制您所使用的网站的网络安全，但您可以采取一些措施来保护自己的帐户。

• 使用双重要素验证。如果无法存取装置，恶意份子就无法进入您的帐户。
• 增加密码的长度和复杂度，同时使用大小写字母和数字，甚至是符号。
• 定期变更密码。
• 不要在不同帐户重复使用相同的密码，因为这会使您容易受到凭证回收攻击。
• 使用密码管理器确保密码的安全。其可将密码保存在加密库中，并为您提供自动填入等额外功能。您就不再需要担心或是另外记住自己的密码！

Tags：

转载请注明出处：https://www.eoje.cn/wlbk/6117.html