حمله Brute Force چیست

نوشته شده توسط در آموزشی

Brute Force که با معنای هم چون حمله بی رحمانه ؛ حمله حیوانی و حملات جستجوی فراگیر و … شناخته می شود .

اگر بخواهیم یک تعریف کلی و عام از این نوع حمله داشته باشیم می توانیم بگوییم:

“حمله ای است که هکر سعی می کند با استفاده از تست آزمون و خطا نام کاربری و رمز عبور یک سیستم را حدس بزند”

خوب؛ شاید در نگاه اول خنده دار باشد؛ مثلا فرض کنید من بخواهم رمز عبور شما را حدس بزنم؛ (این رمز عبور ممکن است ایمیل یا پنل مدیریت وب سایت و … باشد)؛ احتمال اینکه من بتوانم رمز عبور شما را حدسی بگویم چند درصد است؟

درست است؛ امکان حدس زدن رمز عبور تقریبا برای یک انسان غیر ممکن است اما برای روبات ها و نرم افزار ها چه طور؟

در ویکی پدیا این چنین تعریف شده است:

در رمزنگاری، حمله جستجوی فراگیر(به انگلیسی: brute-force attack) یا حمله جستجوی فراگیر فضای کلید (به انگلیسی: exhaustive key search attack) حمله‌ای است که در آن تمام حالات ممکن تا رسیدن به جواب بررسی می‌گردد.

برای هر الگوی رمزنگاری می‌توان زمان لازم برای آزمودن کلیه حالات ممکن برای کلید را محاسبه نمود و معمولاً الگوهای رمزنگاری آنچنان طراحی می‌شوند که آزمودن تمامی حالات ممکن در یک زمان قابل قبول غیر ممکن و یا غیر موثر باشد. همچنین «حمله جستجوی فراگیر» یک معیار برای شناخت روش‌های شکستن رمز است به این معنی که هر روشی که سریع‌تر از روش «حمله جستجوی فراگیر» بتواند رمز را بازگشایی نماید، یک روش شکستن رمز تلقی می‌شود.

هکر با استفاده از برنامه های مخصوص به صورت رندوم پسورد های زیادی را تست می کند تا بالاخره به رمز عبور صحیح دست پیدا کند؛ این حملات بستگی به نوع پسورد ممکن است زمان بسیار زیادی و گاها تا چند ماه نیز به طول بی انجامد؛ البته برای افزایش سرعت این روند نیاز به سیستم هایی با پردازش قوی تر نیز نیاز می باشد.

این حملات به صورت آفلاین سرعت بیشتری نسبت به نوع آنلاین خود دارند؛ البته همیشه از حروف رندوم استفاده نمی شود و از روش هایی مثل Dictionary Attack (تست کلمات هدف دار ، مثل اسم اشخاص ، مکان های مختلف و…) نیز جهت سرعت بخشیدن و کسب نتیجه مطلوب تر استفاده می کنند.
حمله Dictionary را مي توان بعنوان يک حمله Brute Force هوشمند تعريف کرد. تنها محدوديت واقعي که يک حمله Brute Force هميشه با آن مواجه بوده، زمان لازم براي پايان جستجو و همچنين قدرت محاسباتي است. در يک حمله Brute Force عادي، ما هر ترکيب احتمالي از اعداد، حروف و سمبلها را آزمايش مي کنيم تا به کلمه عبور واقعي برسيم. يک حمله Dictionary براساس پيچيدگي محدود بکار رفته در انتخاب کلمات عبور توسط کاربران انجام مي شود. بطور کلي، يک کاربر عادي کلمه عبوري را انتخاب خواهد نمود که حفظ کردن آن ساده باشد.

این نوع حملات هکر ها با استفاده از نرم افزارهای روبوت با ارسال میلیاردها میلیارد نام کاربری و کلمه عبور بر روی بخش Login و با استفاده از قاعده زمان بی نهایت و حالت بی نهایت که احتمال ۱۰۰% را نتیجه می دهد، به یافتن نام کاربری و کلمه عبور اقدام می کنند. پس هر چه نام کاربری و کلمه عبور پیچیده تری انتخاب کنید، هکر دیرتر موفق می شود. اما در صورتیکه سرور میزبان فضای وب پورتال شما از قدرت کافی برخوردار باشد و اصلطلاحاً کرش نکند و از قابلیت Brute Force Detection نیز برخوردار نباشد باز هم هکر می تواند به نتیجه دلخواهش که همانا دستیابی به نام کاربری و کلمه عبور شماست برسد.

آداپتورهاي گرافيکي نظير Nvidia & GeForce داراي يک پردازنده GPU(Graphics Processing Unit) فوق العاده قدرتمند بر روي برد خود هستند. اين کارتها با ۱۲۰ مقياس پذير ترتيبي ( Sequential)، يک گيگابايت حافظه، اينترفيس حافظه ۳۸۴ بيتي و قدرت محاسباتي مميزي ثابت، دنياي بازيهاي ويديوئي را تغيير دادند. پس از مدتي، يک شرکت نرم افزاري کاربرد آنها را براي دنياي Hacking تغيير داد و يک نرم افزار بازاريابي کلمه عبور توزيع شده را توليد کرد. اين نرم افزار از يک تکنيک انقلابي براي بازيابي کلمات عبور استفاده مي کند. اين تنها نرم افزاري است که با استفاده از قدرت محاسباتي هر دو مؤلفه CPU و GPU قادر به بازيابي کلمات عبور با حملات Brute Force مي باشد. عملکرد اين تکنيک ۲۰ برابر بيشتر از حملاتي است که صرفاً براساس CPU انجام مي شون.

راه های مقابله با این حملات نیز آسان است؛ استفاده از رمز عبور های پیچیده و ترکیبی از حروف و اعداد و دیگر کارکتر ها؛ استفاده از سیستم های امنیتی جهت مسدود کردن این حملات.

اگر نگران حمله Brute Force بر روی وب سایت خود هستید نیاز به یک هاست خوب و امن خواهید داشت.