【51CTO.com 独家特稿】随着Internet的发展出现了由于大量傻瓜化黑客工具,任何一种黑客攻击手段的门槛都降低了很多,但是暴力破解法的工具制作都已经非常容易,大家通常会认为暴力破解攻击只是针对某一种FTP服务器发起的攻击,能具有代表性吗?可以拓展到其他的网络?或服务器上吗?答案当然是肯定的。暴力破解这种软件,使用起来没有什么技术含量原理就是一个接一个的试,直到试验出正确的密码,也就是破解成功了。不过这种破解方式成功几率不高,耗费时间多,技术成分低,不是迫不得已是不使用的。在网络的实际情况中,很多FTP服务器虽说都是经过了层层的安全防护的,即便是经过防护的FTP服务器,同样可以在攻击者简单地调整攻击方式以后,运用暴力破解快速突破。本文谈谈各种攻击技术对服务器的影响,仅供网络管理人员在平时工作中,制定安全防范策略时参考使用。
一、网络本身的负载能力与高速网络
所有的网络攻击,都是基于网络而发起的,这就决定了网络是一切网络攻击、安全防护技术的根本。如果攻击者处于一个网络资源极度缺乏的环境之中,想要发起高级的网络攻击也是力不从心的。同时,如果防御者处于一个并非优秀的网络中,网络正常服务本身都很难为正常用户提供,更不用说进行网络安全防护了。
1. 网络带宽的束缚
从国内刚刚出现互联网开始,到今天网络的普及,网龄比较长的网民都经历了使用调制解调器拨号上网的举步维艰,也都经历了1Mb/s、2Mb/s甚至10Mb/s的高速网络,而网络安全,同样经历了这样的一个由慢到快、从低速到高速的过程,在这个过程之中,很多原本看起来根本不可能的攻击技术,也已经可以很顺畅地发起了。很多攻击者在进行这样的攻击的时候,都会发现一个很奇特的现象:刚刚对目标发起了分布式的暴力破解攻击,10分钟后目标服务器因为带宽拥堵,竟然瘫痪了……
对攻击者来说,这是很让人啼笑皆非的事情,因为攻击者的目标原本是为了通过暴力破解获得某些机密的、内部的FTP资料,但是无意间却造成了目标服器的整体瘫痪,这显然是攻击者不愿意看到的结果。这也是攻击者和网络安全工程师因为网络带宽造成的困扰之一。
另一方面,暴力破解因为自身特性,所有的验证过程都是通过向服务器据提交信息、获得服务器返回信息并进行判断而进行的。在这个过程中,不管是服务器的网络带宽质量,还是攻击者使用的僵尸计算机本身的网络带宽速度,都在很大程度上决定了暴力破解整个完成时间的长短。就目前的网络带宽来说,要顺畅、高速地发起FTP的暴力破解攻击,还是有一定难度的。一般情况下攻击者动用上百台僵尸计算机进行攻击就已经是暴力破解的极限,因为即使再增加僵尸计算机,网络带宽的限制也不允许更多的数据收发的进行。所以,第二个限制暴力破解攻击整体效率提高的因素,就是僵尸计算机本身的网络带宽质量。
从现阶段国内四处都在进行的轰轰烈烈的网络速度提升来看,不难预见不久后的将来,整体网络速度将有非常大的提高。就像今天国际公认的平均个人网速最快的国家韩国一样,人均网速达到10Mb/s,20Mb/s甚至更多。
虽然网络速度的提升正在飞速的发展着,但是对攻击者来说,不可能恰好子就遇到拥有高速网络的僵尸计算机或者目标服务器。于是就有读者提问:现阶段的攻击者是如何解决网络带宽的问题的呢?以后如果出现网络整体速度都得到很大提升的时候,攻击者的暴力破解攻又将有怎么样的发展呢?
2.内部高速网络和分布式破解解决带宽难题
先解决第一个问题:现阶段的攻击者是如何解决网络带宽的问题的呢?举例来说,一个攻击者妄图获得某会员制网站的FTP账户权限,因为里面有很多内部付费使用的资料。但是这个会员制网站服务器的网络带宽质量并不高,如果采用分布式的暴力破解攻击,可能十几台僵尸计算机就足以让这个服务器瘫痪了,攻击者显然是不愿意看到这样情况的发生的。
在实际的网络攻击案例中,很多攻击者都遇到了这样的问题,他们的解决方法也很巧妙,也非常实用:利用内部网络通信的高速来解决暴力破解的网络带宽难题。有一定网络经验的网民都知道,中国现在的服务器,一般都是托管在IDC或者机房的,而正常情况下IDC或者机房会进行很多的网络带宽限制,在机房的入口路由或者机柜的防火墙上限制带宽,让由外对内的网络带宽变得很窄-毕竟机房很多情况下都是通过带宽来进行托管收费的。
现在的服务器配置一般都是千兆网卡,但是对外的网络带宽不可能做到千兆全开。一般中小站点能购买5~10Mb/s的独立带宽就很不错了,也就是说这样的服务器在提供对外的访问的时候,即使网络堵塞了,用户打不开网站了,FTP无法提供正常服务了。实际上就服务器本身的硬件性能来说,还有极大的容余可以用来提供网络服务,只是出入口网络带宽不足而已。就目前国内的整体网络安全意识来看,对资深的攻击者来说,在一个存放着几百台服务器的机房中找寻一台"肉鸡",并不是很难的技术问题。找到这样的内部服务器有什么用呢?攻击者当然可以选择用来发起暴力破解攻击。对一个千兆网卡来说,如果是在内部网络中进行访问,数据的中转和网络损耗本是可以忽视的。这就好比由一个1Mb/s的ADSL猫连接的两个家用计算机,虽然从网络上下载文件大概只有150Mb/s的速度,但是如果两个计算机之间传送文件的话,8Mb/s的内网速度还是很容易实现的。所以,现阶段的攻击者如果想要发起效率非常高的FTP暴力破解,在目标服务器的网络带宽存在束缚的时候,-机柜中的服务器,并利用内部网络高速的特点发起超快的FTP暴力破解。
再说说另一个问题:以后如果出现网络整体速度都得到很大提升的情况,攻击者的暴力破解攻击又将有怎么样的发展呢? 其实同第一个问题相比,这个问题已经在大范围内得到了解决,而且很多攻击者现在就是这样发起攻击的,那就是:分布式暴力破解。在之所有有些攻击者因为网络带宽的问题无法发起大范围的分布式暴力破解攻击,原因更多的还是目标服务器的网络带宽限制,而不是僵尸计算机本身的网络带宽。因为僵尸计算机的网络带宽就算不足,就算很慢,攻击者完全可以使用数量代替质量的方式,利用很多网络带宽不好的僵尸计算机发起大规模的暴力破解,毕竟因为网络安全意识低下,僵尸计算机还是很容易捕获的。当目标服务器的带宽在不久后的未来得到大力提升的时候,攻击者完全可以利用成千上万的僵尸计算机发起大规模的分布式暴力破解攻击,只要目标计算机的网络带宽足以承受这样的攻击,那么攻击者在极短的时间内就可以完成看似非常庞大的密码集的暴力破解攻击。
