/
  • بروت فورس

  • ارسال پاسخ   امتیاز موضوع:
    • 0 رأی - میانگین امیتازات: 0
    • 1
    • 2
    • 3
    • 4
    • 5

    حالت موضوعی | حالت خطی بروت فورس
    نویسنده پیام
    hamid_80386 آفلاین
    حمید عباسی
    ***

    ارسال‌ها: 1,479
    تاریخ عضویت: ۱۳۹۰ بهمن ۱۶
    اعتبار: 62
    تشکرها : 1216
    ( 1253 تشکر در 748 ارسال )
    ارسال: #1
    Thumbs Down بروت فورس
    سلام
    رضا تو یه تاپیک دیگه یه اشاره ای به این موضوع (بروت فورس) کرد که بدم نیومد بیایم به بحثی در رابطه باهاش بکنیم

    نقل قول: حالا فرض کنید این رفع شدی بیایید جلوی بروت فورس رو بگیرید مثلاً 5 بار پسورد رو اشتباه زد یک ساعت آی پی رو ببنیدید

    این حرف رضا که آی.پی رو مسدود کنیم به مراتب بهتر از بستن یوزر نیم هست، فکر کنم اوایل بانک پارسیان یوزر رو بلاک میکرد که تا یک ساعت نمیشد وارد اکانتت بشی (کافی بود یه نفر باهات دشمنی داشته باشه، اونوقت میرفت سه بار با یه پسورد الکی هی شماره کاربریت رو میزد تا مسدود شی، اونوقت اگه میخواست جلوی یه انتقال وجه رو تا زمان معلوم بگیره، هر یک ساعت اینکار رو تکرار میکرد :s)

    اما خب این روش هم (مسدود کردن آی.پی) به مراتب راه های دور زدن خودش رو داره، مثلاً اینکه مودم ADSL رو خاموش و روشن کنی، یا از پروکسی و فیلتر شکن استفاده کنی و غیره، با نگاه به این مسائل شاید به این نتیجه برسیم که همون فیلترینگ یوزرنیم بهــتـــره!؛

    یه روش که به نظر خود من میرسه اینه که اگه سیستم تشخیص داد در دقایق گذشته برای یه یوزرنیم چند تا آی.پی ثبت شده، سیستم موضوع رو Attack تشخیص بده و خود یوزرنـــیم رو بلاک کنه...
    بعد بیاد یه ایمیل با یه کد به آدرس ایمیل دارنده اکانت بفرسته و ضمن اینکه بهش اطلاع میده که یوزرنیم شما مورد حمله قرار گرفته، بهش بگه برای ورود کد زیر را در بخش بازگشایی اکانت در صفحه ورود سایت وارد کنید و وقتی کاربر اینکار رو کرد، بیایم و آدرس آی.پی اون رو که الان میدونیم قطعاً مال کاربر اصلی هست valid تشخیص بدیم و اکانت رو برای اون ip باز کنیم...

    در ضمن طبیعی هست که در صفحه ورود هم وقتی یه اکانت رو lock کردیم، باید یه تکست باکس اضافه کنیم به اسم کد بازگشایی :rolleyes:
    __________________________________________________________________________
    هر که با مرغ هوا دوست شود - خوابش آرامترین خواب جهان خواهد بود.
    (آخرین ویرایش در این ارسال: ۱۳۹۱ مهر ۱۴ ۰۴:۲۸ عصر، توسط hamid_80386.)
    ۱۳۹۱ مهر ۱۴ ۰۳:۲۵ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : ali786 ramtin2025
    Y.P.Y آفلاین
    ناظم کل
    *******

    ارسال‌ها: 2,775
    تاریخ عضویت: ۱۳۸۷ دي ۲۸
    اعتبار: 103
    تشکرها : 2181
    ( 4852 تشکر در 2216 ارسال )
    ارسال: #2
    RE: بروت فورس
    من در جریان بحثتون نیستم، ولی این روش مسدود کردن آی پی، بیشترین نفعش برای سرور هستش و دردسرش واسه کاربر!
    ببین مجموعه های بزرگ چکار می کنن
    مثلاً (تا اونجایی که یادمه!) جیمیل و یاهو بعد از چند بار وارد کردن پسورد اشتباه، حساب کاربر رو موقتاً مسدود و مستقیماً کاربر رو وارد بخش سوال و جواب می کردن
    اگر سوالات رو درست وارد می کرد حساب درجا بازیابی میشد و...
    __________________________________________________________________________
    وبلاگ: Yousha.Blog.ir

    صدام: "اگر با ارتش شاه ایران طرف بودیم، یک ماهه جنگ را می بردیم"
    http://gulfnews.com/opinion/thinkers/ira...i-1.500997
    ۱۳۹۱ مهر ۱۴ ۰۷:۳۹ عصر
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : Reza hamid_80386
    Reza آفلاین
    رضا شیخله
    *****

    ارسال‌ها: 3,024
    تاریخ عضویت: ۱۳۹۰ آبان ۱۶
    اعتبار: 133
    تشکرها : 2724
    ( 2715 تشکر در 1691 ارسال )
    ارسال: #3
    RE: بروت فورس
    میشه خیلی کارها کرد ، اما اگه استاد venjmd (درست نوشتم؟) اینجا بودن ، شاید میفرمودن ، شما آلگوریتم لاگین رو کمی سنگین پیاده کنید ، با استفاده از هش های چند هزار دور که عملاً تست بروت فورس رو کند کنه ، اینجوری مثلاً هر 1 دقیقه یک آی پی میتونه 5 درخواست بده Big Grin
    __________________________________________________________________________
    -- - RezaWorkShop.ir - blog.RezaOnline.net
    (آخرین ویرایش در این ارسال: ۱۳۹۱ مهر ۱۴ ۰۸:۱۷ عصر، توسط Reza.)
    ۱۳۹۱ مهر ۱۴ ۰۷:۴۳ عصر
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : zoghal
    hamid_80386 آفلاین
    حمید عباسی
    ***

    ارسال‌ها: 1,479
    تاریخ عضویت: ۱۳۹۰ بهمن ۱۶
    اعتبار: 62
    تشکرها : 1216
    ( 1253 تشکر در 748 ارسال )
    ارسال: #4
    RE: بروت فورس
    نقل قول: یشترین نفعش برای سرور هستش و دردسرش واسه کاربر

    نفعش برای سرور چیه یوشا جان؟
    __________________________________________________________________________
    هر که با مرغ هوا دوست شود - خوابش آرامترین خواب جهان خواهد بود.
    ۱۳۹۱ مهر ۱۴ ۰۹:۳۶ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    Y.P.Y آفلاین
    ناظم کل
    *******

    ارسال‌ها: 2,775
    تاریخ عضویت: ۱۳۸۷ دي ۲۸
    اعتبار: 103
    تشکرها : 2181
    ( 4852 تشکر در 2216 ارسال )
    ارسال: #5
    RE: بروت فورس
    از شر درخواست های مکرر و خلاص میشه
    __________________________________________________________________________
    وبلاگ: Yousha.Blog.ir

    صدام: "اگر با ارتش شاه ایران طرف بودیم، یک ماهه جنگ را می بردیم"
    http://gulfnews.com/opinion/thinkers/ira...i-1.500997
    ۱۳۹۱ مهر ۱۴ ۱۱:۱۱ عصر
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : hamid_80386
    vejmad آفلاین
    عضو ارشد
    *****

    ارسال‌ها: 1,460
    تاریخ عضویت: ۱۳۸۹ ارديبهشت ۲۱
    اعتبار: 23
    تشکرها : 484
    ( 1247 تشکر در 611 ارسال )
    ارسال: #6
    RE: بروت فورس
    نقل قول: اما خب این روش هم (مسدود کردن آی.پی) به مراتب راه های دور زدن خودش رو داره، مثلاً اینکه مودم ADSL رو خاموش و روشن کنی، یا از پروکسی و فیلتر شکن استفاده کنی و غیره، با نگاه به این مسائل شاید به این نتیجه برسیم که همون فیلترینگ یوزرنیم بهــتـــره!؛

    یه روش که به نظر خود من میرسه اینه که اگه سیستم تشخیص داد در دقایق گذشته برای یه یوزرنیم چند تا آی.پی ثبت شده، سیستم موضوع رو Attack تشخیص بده و خود یوزرنـــیم رو بلاک کنه...
    اینکه داری میگی مثل اینه که همزمان هم سیستم قفل اکانت داشته باشی و هم قفل IP. هیچ فرق خاصی بنظرم نمیرسه.
    نیازی نیست IP رو هم ثبت کنی و چک کنی که برای یک یوزرنیم چندتا IP ثبت شده. بلکه کافیه تعداد تلاش لاگین ناموفق در یک بازهء زمانی مشخص رو بشماری (به ازای هر اکانت). چون تلاش لاگین موفق که مشکلی نداره (حالا هرچندبار و از هر چندتا آیپی که میخواد باشه) و تلاش لاگین ناموفق هم که از یک یا هر تعداد آیپی که میخواد باشه فرقی نمیکنه.

    بنده در سیستم رجیستر و لاگین خودم هم سیستم قفل اکانت گذاشتم و هم قفل IP. هردوش هم قابل پیکربندی کامله (منجمله غیرفعال کردن).

    نقل قول: بعد بیاد یه ایمیل با یه کد به آدرس ایمیل دارنده اکانت بفرسته و ضمن اینکه بهش اطلاع میده که یوزرنیم شما مورد حمله قرار گرفته، بهش بگه برای ورود کد زیر را در بخش بازگشایی اکانت در صفحه ورود سایت وارد کنید و وقتی کاربر اینکار رو کرد، بیایم و آدرس آی.پی اون رو که الان میدونیم قطعاً مال کاربر اصلی هست valid تشخیص بدیم و اکانت رو برای اون ip باز کنیم...
    چنین سیستمی رو هم بنده در پروژهء خودم گذاشتم؛ بازم با امکان تنظیم کامل پارامترها، منجمله غیرفعال کردن.

    ضمنا نیازی نیست که IP خاصی رو ولید تشخیص بدید و مستثنی کنید. فقط کافیه با اون کد یا لینک مخصوص کاربر بتونه تا زمان معینی لاگین بکنه. یعنی قفل ها رو bypass کنه. معمولا هم که یک بار لاگین دستی براش کافیه و نمیخواد هر ساعت لاگین مجدد بکنه.
    اینکه IP فعلی اون کاربر رو هم باز/مستثنی کنید ضرورتی نداره و خودش کمی ضعف امنیتی ایجاد میکنه. چون اون IP ممکنه مدتی بعد توسط کس دیگری استفاده بشه، یا شاید الانش هم بین کاربران دیگری به اشتراک گذاشته شده باشه (که نفوذگر هم ممکنه جزو اونا باشه).



    (۱۳۹۱ مهر ۱۴ ۰۷:۴۳ عصر)Reza نوشته شده توسط:  شما آلگوریتم لاگین رو کمی سنگین پیاده کنید، با استفاده از هش های چند هزار دور که عملاً تست بروت فورس رو کند کنه ، اینجوری مثلاً هر 1 دقیقه یک آی پی میتونه 5 درخواست بده Big Grin
    اون قضیهء هش و چندهزار دورش بیشتر برای سخت کردن کرک کردن هش هاست. گرچه روی Brute-force لاگین هم تاثیری داره، اما این تاثیر زیاد نیست و ثانویه است. بخصوص وقتی شما سیستم قفل اکانت و IP رو دارید، کند بودن فرایند لاگین اهمیت خیلی کمتری هم داره.

    البته در سیستمهای با نیاز به امنیت خیلی بالا یا مواردی که به عللی نمیتونیم از قفل اکانت و IP استفاده کنیم میشه تعداد لاگین در واحد زمان رو هم محدود کرد، که روش پیاده سازی اصولی اون طوری دیگریست و به این قضیهء هش که برای جلوگیری از کرک هش ها درصورت سرقت است ارتباط نداره.
    __________________________________________________________________________
    God knows
    (آخرین ویرایش در این ارسال: ۱۳۹۱ مهر ۱۵ ۱۲:۰۱ عصر، توسط vejmad.)
    ۱۳۹۱ مهر ۱۵ ۱۱:۵۳ صبح
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : Reza ali786
    faghani آفلاین
    عليرضا فغاني
    ****

    ارسال‌ها: 341
    تاریخ عضویت: ۱۳۸۸ مرداد ۲۲
    اعتبار: 4
    تشکرها : 255
    ( 85 تشکر در 61 ارسال )
    ارسال: #7
    RE: بروت فورس
    دلیل استفاده از چنین سیستم هایی بیشتر جلوگیری از استفاده بات ها و کرک پسورد هست! نه اینکه هکر رو جلوشو بگیری!
    ۱۳۹۱ مهر ۱۵ ۰۵:۳۲ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    sabernasri آفلاین
    عضو جدید
    **

    ارسال‌ها: 1
    تاریخ عضویت: ۱۳۹۳ فروردين ۸
    اعتبار: 0
    تشکرها : 0
    ( 0 تشکر در 0 ارسال )
    ارسال: #8
    RE: بروت فورس
    سلام دوستان من پروژه دانشگاه دارم و نیازی شدیدی به کد پی اچ پی برای مقابله با بروت فورس دارم کدی که من میخوام فقط اگر یوزر نیم رو هم بعد از 3بار اشتباه زدن به مدت 15 دقیقه قفل کنه عالی میشه اگر دوستان زحمت بکشن و کدشو بزارن واقعا ممنون میشم

    منتظر پاسخ شما هستم
    ۱۳۹۳ فروردين ۸ ۱۱:۲۱ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    « قدیمی تر | تازه‌ تر »

    ارسال پاسخ
    پرش به انجمن:


    کاربرانِ درحال بازدید از این موضوع: 1 مهمان
    IranPHP.org | تماس با ما | بازگشت به بالا | بازگشت به محتوا | بایگانی | پیوند سایتی RSS