谨防cc攻击_有效的_40g高防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防火墙 > 谨防cc攻击_有效的_40g高防

谨防cc攻击_有效的_40g高防

小墨安全管家 2021-04-06 21:07 CC防火墙 89 ℃
DDoS防御
和本周的每个人一样,我了解到一具巨大的密码哈希文件被黑客泄露。120MB的zip文件包含6458020个SHA-1散列的最后来用户密码账户。在首先,每个人都在谈论一种快速检查密码是否被泄露的想法。那个简单的Linux命令行:echo-nMyPassword | shasum | cut-c6-40允许用户创建其密码的SHA-1和,并猎取结果的第6到40个字符。(见以下注释*)。接着,用户能够轻松地搜索120MB文件,以查看文件中是否存在他的哈希。假如是的话,这么他的密码固然基本被泄露了,他与密码相关的账户在冒险,约翰当OpenWall社区公布了一具补丁来运行John the Ripper时,它引起了我的注意。我基本特别久没有运行过裂土器John了,我决定安装那个新的,社区增强的"jumbo"版本并应用LinkedIn帕奇,约翰裂土器试图经过迭代那个过程来破解SHA-1密码哈希:1。猜猜密码,2。生成它的SHA-1散列和3。检查生成的哈希是否与120MB文件中的哈希匹配。当它找到一具匹配项时,它就懂它有一具合法的密码。John the Ripper以一种很聪慧的方式迭代,使用单词文件(也算是字典攻击)和单词修改规则,来做出正确的推测。它还有一具增量模式,能够尝试任何大概的密码(允许您依照密码的长度或性质,使用数字、大写或特殊字符来定义密码集),然而关于长密码和大字符来讲,这变得很需要计算设置。The其实,哈希密码文件没有被加盐有特别大的关心。另外,即使它们被加盐,你也能够集中破解会话,首先使用裂土器John的"single"模式破解最简单的密码。然而这种想法最适合使用其他用户信息,比如GECOS,在本例中,至少对公众是不可用的。于是关于salted来讲难度会大得多哈希。接近我的例子是,我有一台没有GPU和rainbow表的旧机器,于是我决定使用好的旧字典和规则,我运行默认的john命令,它只启动一组规则(比如每个单词的append/prepend 1,在一具不到4000字的小默认密码字典上。接着,它依照对已知密码结构的统计分析,切换到增量模式,这有助于它首先尝试更大概的密码。结果相当令人印象深刻,因为4小时后,我基本有了大约900K个密码破碎了。然而接着,到了关键时光,它尝试的密码越来越少,所以找到匹配项的速度也越来越慢,我决定停止它,运行一系列我拥有的旧字典:从默认的通用密码列表(16KB的数据)到每种现有语言的单词(40MB的数据)。它的效率很高,在不到一具小时内就发觉了50万个密码,总共140万个密码。甚至尽管我的字典基本有10年的历史了,而且没有像"linkedin"如此的新词,但也许有点破解规则,CC防御,经过颠倒字符串或删除一些元音,能够从基本破解的单词中猜出新的俚语单词密码。和作为我刚不久获得了140万个有效密码,我相信用这些新发觉的密码作为字典我能够找到更多。它奏效了,DDoS防御,适用于基本破解的密码的规则产生了55万个新密码。我使用第一次迭代中的550K个密码作为字典运行了第二次迭代,CC防御,并找到了22K个。我以这种方式重复了十次时代。它有味的是,在这种递归字典破解的第3次或第4次迭代中发觉的最复杂的密码大多与linkedin那个词有关时刻:假如我试图匹配linkedin略微修改过的单词(反转或与"1"或"!"与l1nked1n中的"i"不同:在第一次迭代中,554404中的558个密码(0.1%)与"Linkedin"字符串相关;在第二次迭代中,22688个(14%)中的3248个与"Linkedin"字符串相关;第三次迭代:3682次中有1733次(47%);第四次迭代:917次中有539次(59%);第五次迭代:330次中的217次(66%);第六次迭代:152次中的119次(78%);第七次迭代:51次中的40次(78%);依此类推到第十次迭代。一具我在第7遍找到的例子是:m0c.nideknil另一具例子是:lsw4linkedin,它是在第十遍找到的。为了讲明这些规则是怎么在字典中修改单词的,下面是一组实际的修改,用于从字典条目"pwlink"到成功破解的密码"lsw4linkedin"的10个i改写:pwdlink frompwdlink使用规则"在第3个位置插入d"pwd4link从pwdlink使用规则"insert 4 in 4th"位置"pwd4linkedin from pwd4linkedin",规则"append ed"pw4linkedin from pwd4linked,规则"remove 3rd char"pw4linkedin from pw4linkedin,规则"prepend m"mw4linkedin from mw4linkedin,规则"remove second character"smw4linkedin from mw4linkedin,规则为"prepends"sw4linkedin from smw4linkedin,规则为"remove second character"lsw4linkedin from sw4linkedin,规则为"prepend l"。这是找到的最深密码,即最终一次获得的唯一密码迭代。那个清晰地表明,不管你挑选的密码有多复杂,只要它是基于文字和规则,即使有特别多词汇和很多规则,它也大概会被破解。其实,在像LinkedIn泄密如此的大文件中,你找到的每一具密码都能够关心你获得另一具密码。这是因为人类创建的密码不是随机的,像johntheripper和dictionary攻击如此的程序能够使用密码哈希文件中基本懂或发觉的模式来大大减少破解所需的时刻他们。密码治理所以,强烈建议使用实际上是随机的。它有味的是,一具名为"mkpasswd"的旧版本的命令行工具依照错误的随机salt生成密码,同时只生成32768个不同的密码(),这是10年前报告和修复的,但我仍然可以在那个易受攻击的版本生成的泄漏文件中恢复140个密码mkpasswd证据表明泄露信息的黑客特别大概是想从网上社区猎取破解密码,这是一种众包破解。由于他大概也拥有登录列表,假如你以为他能够用他所拥有的信息访咨询其他帐户,这么你大概想更改你在其他帐户中的密码。请注意,假如您使用简单的规则创建了唯一的密码,您也能够更改它们。例如,假如你的LinkedIn密码是MyPW4Linkedin,恶意破解者大概会推测MyPW4Facebook大概是你的Facebook密码。它假如能够从中猜出您的用户名,建议您更改密码,因为那个星球上的每个密码破解者都在玩那个密码文件。这个《开膛手约翰》(johntheripper)一书的作者,太阳能设计师,就密码安全的过去、如今和今后做了一具特别好的介绍。虽然安全行业基本花了大量的工作来制作好的散列函数(还有更多的工作要做),但我相信挑选不当的密码是一具值得关注的咨询题。可能我们应该要求我们的扫瞄器(使用Firefox Manager中的安全存储)或第三方单点登录提供商创建更简单的解决方案,DDoS防御,以关心我们抵制使用简单密码和重复使用相同密码的诱惑。*注意:120MB文件中的哈希有时有其前五个字符用0重写。假如我们查看第6到40个字符,我们甚至能够在文件中找到这些子字符串的副本,这意味着前五个字符被用于某种未知用途:是否LinkedIn在那个地点存储用户信息?是最初的攻击者标记了一组帐户以举行破坏吗?这是未知.RelatedDiscovered2012年4月12日,在"安全实验室"里,黑客们拿着偷来的证书过了一天。2017年1月10日,在"安全实验室"中,微软公司在"崩溃补丁"中失火,而万纳克里则在2018年12月2日的"产品和技术"中忽然浮上

谨防cc攻击_有效的_40g高防


DDoS防御

当前位置:主页 > CC防火墙 > 谨防cc攻击_有效的_40g高防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119