• 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
بروت فورس
#1
Thumbs Down 
سلام
رضا تو یه تاپیک دیگه یه اشاره ای به این موضوع (بروت فورس) کرد که بدم نیومد بیایم به بحثی در رابطه باهاش بکنیم

نقل قول:حالا فرض کنید این رفع شدی بیایید جلوی بروت فورس رو بگیرید مثلاً 5 بار پسورد رو اشتباه زد یک ساعت آی پی رو ببنیدید

این حرف رضا که آی.پی رو مسدود کنیم به مراتب بهتر از بستن یوزر نیم هست، فکر کنم اوایل بانک پارسیان یوزر رو بلاک میکرد که تا یک ساعت نمیشد وارد اکانتت بشی (کافی بود یه نفر باهات دشمنی داشته باشه، اونوقت میرفت سه بار با یه پسورد الکی هی شماره کاربریت رو میزد تا مسدود شی، اونوقت اگه میخواست جلوی یه انتقال وجه رو تا زمان معلوم بگیره، هر یک ساعت اینکار رو تکرار میکرد :s)

اما خب این روش هم (مسدود کردن آی.پی) به مراتب راه های دور زدن خودش رو داره، مثلاً اینکه مودم ADSL رو خاموش و روشن کنی، یا از پروکسی و فیلتر شکن استفاده کنی و غیره، با نگاه به این مسائل شاید به این نتیجه برسیم که همون فیلترینگ یوزرنیم بهــتـــره!؛

یه روش که به نظر خود من میرسه اینه که اگه سیستم تشخیص داد در دقایق گذشته برای یه یوزرنیم چند تا آی.پی ثبت شده، سیستم موضوع رو Attack تشخیص بده و خود یوزرنـــیم رو بلاک کنه...
بعد بیاد یه ایمیل با یه کد به آدرس ایمیل دارنده اکانت بفرسته و ضمن اینکه بهش اطلاع میده که یوزرنیم شما مورد حمله قرار گرفته، بهش بگه برای ورود کد زیر را در بخش بازگشایی اکانت در صفحه ورود سایت وارد کنید و وقتی کاربر اینکار رو کرد، بیایم و آدرس آی.پی اون رو که الان میدونیم قطعاً مال کاربر اصلی هست valid تشخیص بدیم و اکانت رو برای اون ip باز کنیم...

در ضمن طبیعی هست که در صفحه ورود هم وقتی یه اکانت رو lock کردیم، باید یه تکست باکس اضافه کنیم به اسم کد بازگشایی :rolleyes:
هر که با مرغ هوا دوست شود - خوابش آرامترین خواب جهان خواهد بود.
  پاسخ
تشکر شده توسط : ali786 ramtin2025
#2
من در جریان بحثتون نیستم، ولی این روش مسدود کردن آی پی، بیشترین نفعش برای سرور هستش و دردسرش واسه کاربر!
ببین مجموعه های بزرگ چکار می کنن
مثلاً (تا اونجایی که یادمه!) جیمیل و یاهو بعد از چند بار وارد کردن پسورد اشتباه، حساب کاربر رو موقتاً مسدود و مستقیماً کاربر رو وارد بخش سوال و جواب می کردن
اگر سوالات رو درست وارد می کرد حساب درجا بازیابی میشد و...
وبلاگ: Yousha.Blog.ir

صدام: "اگر با ارتش شاه ایران طرف بودیم، یک ماهه جنگ را می بردیم"
http://gulfnews.com/opinion/thinkers/ira...i-1.500997
  پاسخ
تشکر شده توسط : Reza hamid_80386
#3
میشه خیلی کارها کرد ، اما اگه استاد venjmd (درست نوشتم؟) اینجا بودن ، شاید میفرمودن ، شما آلگوریتم لاگین رو کمی سنگین پیاده کنید ، با استفاده از هش های چند هزار دور که عملاً تست بروت فورس رو کند کنه ، اینجوری مثلاً هر 1 دقیقه یک آی پی میتونه 5 درخواست بده Big Grin
  پاسخ
تشکر شده توسط : zoghal
#4
نقل قول:یشترین نفعش برای سرور هستش و دردسرش واسه کاربر

نفعش برای سرور چیه یوشا جان؟
هر که با مرغ هوا دوست شود - خوابش آرامترین خواب جهان خواهد بود.
  پاسخ
تشکر شده توسط :
#5
از شر درخواست های مکرر و خلاص میشه
وبلاگ: Yousha.Blog.ir

صدام: "اگر با ارتش شاه ایران طرف بودیم، یک ماهه جنگ را می بردیم"
http://gulfnews.com/opinion/thinkers/ira...i-1.500997
  پاسخ
تشکر شده توسط : hamid_80386
#6
نقل قول:اما خب این روش هم (مسدود کردن آی.پی) به مراتب راه های دور زدن خودش رو داره، مثلاً اینکه مودم ADSL رو خاموش و روشن کنی، یا از پروکسی و فیلتر شکن استفاده کنی و غیره، با نگاه به این مسائل شاید به این نتیجه برسیم که همون فیلترینگ یوزرنیم بهــتـــره!؛

یه روش که به نظر خود من میرسه اینه که اگه سیستم تشخیص داد در دقایق گذشته برای یه یوزرنیم چند تا آی.پی ثبت شده، سیستم موضوع رو Attack تشخیص بده و خود یوزرنـــیم رو بلاک کنه...
اینکه داری میگی مثل اینه که همزمان هم سیستم قفل اکانت داشته باشی و هم قفل IP. هیچ فرق خاصی بنظرم نمیرسه.
نیازی نیست IP رو هم ثبت کنی و چک کنی که برای یک یوزرنیم چندتا IP ثبت شده. بلکه کافیه تعداد تلاش لاگین ناموفق در یک بازهء زمانی مشخص رو بشماری (به ازای هر اکانت). چون تلاش لاگین موفق که مشکلی نداره (حالا هرچندبار و از هر چندتا آیپی که میخواد باشه) و تلاش لاگین ناموفق هم که از یک یا هر تعداد آیپی که میخواد باشه فرقی نمیکنه.

بنده در سیستم رجیستر و لاگین خودم هم سیستم قفل اکانت گذاشتم و هم قفل IP. هردوش هم قابل پیکربندی کامله (منجمله غیرفعال کردن).

نقل قول:بعد بیاد یه ایمیل با یه کد به آدرس ایمیل دارنده اکانت بفرسته و ضمن اینکه بهش اطلاع میده که یوزرنیم شما مورد حمله قرار گرفته، بهش بگه برای ورود کد زیر را در بخش بازگشایی اکانت در صفحه ورود سایت وارد کنید و وقتی کاربر اینکار رو کرد، بیایم و آدرس آی.پی اون رو که الان میدونیم قطعاً مال کاربر اصلی هست valid تشخیص بدیم و اکانت رو برای اون ip باز کنیم...
چنین سیستمی رو هم بنده در پروژهء خودم گذاشتم؛ بازم با امکان تنظیم کامل پارامترها، منجمله غیرفعال کردن.

ضمنا نیازی نیست که IP خاصی رو ولید تشخیص بدید و مستثنی کنید. فقط کافیه با اون کد یا لینک مخصوص کاربر بتونه تا زمان معینی لاگین بکنه. یعنی قفل ها رو bypass کنه. معمولا هم که یک بار لاگین دستی براش کافیه و نمیخواد هر ساعت لاگین مجدد بکنه.
اینکه IP فعلی اون کاربر رو هم باز/مستثنی کنید ضرورتی نداره و خودش کمی ضعف امنیتی ایجاد میکنه. چون اون IP ممکنه مدتی بعد توسط کس دیگری استفاده بشه، یا شاید الانش هم بین کاربران دیگری به اشتراک گذاشته شده باشه (که نفوذگر هم ممکنه جزو اونا باشه).



(۱۳۹۱ مهر ۱۴, ۰۸:۴۳ ب.ظ)Reza نوشته: شما آلگوریتم لاگین رو کمی سنگین پیاده کنید، با استفاده از هش های چند هزار دور که عملاً تست بروت فورس رو کند کنه ، اینجوری مثلاً هر 1 دقیقه یک آی پی میتونه 5 درخواست بده Big Grin
اون قضیهء هش و چندهزار دورش بیشتر برای سخت کردن کرک کردن هش هاست. گرچه روی Brute-force لاگین هم تاثیری داره، اما این تاثیر زیاد نیست و ثانویه است. بخصوص وقتی شما سیستم قفل اکانت و IP رو دارید، کند بودن فرایند لاگین اهمیت خیلی کمتری هم داره.

البته در سیستمهای با نیاز به امنیت خیلی بالا یا مواردی که به عللی نمیتونیم از قفل اکانت و IP استفاده کنیم میشه تعداد لاگین در واحد زمان رو هم محدود کرد، که روش پیاده سازی اصولی اون طوری دیگریست و به این قضیهء هش که برای جلوگیری از کرک هش ها درصورت سرقت است ارتباط نداره.
  پاسخ
تشکر شده توسط : Reza ali786
#7
دلیل استفاده از چنین سیستم هایی بیشتر جلوگیری از استفاده بات ها و کرک پسورد هست! نه اینکه هکر رو جلوشو بگیری!
  پاسخ
تشکر شده توسط :
#8
سلام دوستان من پروژه دانشگاه دارم و نیازی شدیدی به کد پی اچ پی برای مقابله با بروت فورس دارم کدی که من میخوام فقط اگر یوزر نیم رو هم بعد از 3بار اشتباه زدن به مدت 15 دقیقه قفل کنه عالی میشه اگر دوستان زحمت بکشن و کدشو بزارن واقعا ممنون میشم

منتظر پاسخ شما هستم
  پاسخ
تشکر شده توسط :


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان