防御那些攻擊!不管它們是否暴力
眾所周知,某些信息安全事件其實并不高明,如icould艷照門黑客通過暴力破解攻擊不斷嘗試登錄用戶的賬號名和密碼,最終獲取好萊塢明星的iCloud賬號。什么是暴力破解攻擊?怎樣檢測暴力破解攻擊以及怎樣防護呢?
一、什么是暴力破解攻擊?
暴力破解攻擊是指攻擊者通過系統地組合所有可能性(例如登錄時用到的賬戶名、密碼),嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會經常使用自動化腳本組合出正確的用戶名和密碼。
對防御者而言,給攻擊者留的時間越長其組合出正確的用戶名和密碼的可能性就越大。這就是為什么時間在檢測暴力破解攻擊時是如此的重要了。
二、怎樣檢測暴力破解攻擊?
暴力破解攻擊是通過巨大的嘗試次數獲得一定成功率的的。因此在web(應用程序)日志上,你會經常發現有很多的登錄失敗條目,而且這些條目的IP地址通常還是同個IP地址。有時你又會發現不同的IP地址會使用同一個賬戶、不同的密碼進行登錄。
大量的暴力破解請求會導致服務器日志中出現大量異常記錄,從中你會發現一些奇怪的進站前鏈接(referring urls),比如:
http://user:password@website.com/login.html。
有時,攻擊者會用不同的用戶名和密碼頻繁的進行登錄嘗試,這就給主機入侵檢測系統或者記錄關聯系統一個檢測到他們入侵的好機會。當然這里頭會有一些誤報,需要我們排除掉。例如,同一個IP地址用同一個密碼重復登錄同一個賬戶,這種情況可能只是一個還未更新密碼或者未獲得正確認證的Web/移動應用程序而已,應排除掉這種干擾因素。
三、怎樣防御暴力破解攻擊?
盡管暴力破解攻擊并不是很復雜的攻擊類型,但是如果你不能有效的監控流量和分析的話,它還是會有機可乘的。因此,你需要對用戶請求的數據做分析,排除來自用戶的正常訪問并根據優先級排列出最嚴重最緊急的威脅,然后做出響應。
當然,更令人討厭的是某些一直存在的固有漏洞,比如最近爆出的全系列CPU漏洞
四、這次的漏洞是啥?
我們先從機制說起來。這次曝光的漏洞一組三個,基本原理都是一樣的。
1. 緩存(Cache)
CPU執行指令,最大的速度瓶頸不在計算,而在于內存訪問。
為了降低內存訪問需要的時間,現代CPU全部都設計了緩存。
通俗地說,就是把曾經讀過的內存,備一份在速度更快的緩存里。
下次再讀同一塊數據的時候就可以直接從緩存里取,就會更快。
2. 亂序執行(OOO)
因為有訪存瓶頸,指令之間的執行時間差距可能非常大。
一條普通的計算指令1拍結束。一條訪存指令如果緩存命中,需要10到100拍;如果緩存不命中,到內存里取,需要上萬拍甚至更多。
如果上一條指令被訪存卡了十萬拍,后面其他的指令只能等著嗎?不可能的,所以現代CPU全部都設計了亂序執行的特性。
把指令比做人的話,順序執行就是排隊入場,先來后到,一直保持同一個順序。前邊的人停下了,后邊所有人都必須跟著停。
亂序執行就好象逛超市,大家排著隊進場每人發個編號,之后自由亂逛,到結賬的地方如果你前邊編號的還有人沒出去,你就在出口坐著等會兒,最終實現大家出去的時候仍然按進入的順序排成一隊。
坐著等前邊人回來的那個地方,你可以想象有幾排椅子的等候區,有個保安看著給大家排號,這個機構學名叫做ROB。
3. 異常
計算機只有一塊內存,這塊內存上既存著某個不知名應用的運行信息,也存著你的支付寶密碼。
怎么樣防止不知名小程序看到你的支付寶密碼呢?當程序讀內存的時候,CPU會幫忙檢查讀的地址是否屬于這個程序。如果不屬于,就是非法訪問,CPU會在這條指令上產生一個異常,報操作系統槍斃。
操作系統為了處理異常,有一個要求:如果出現異常,那么異常指令之前的所有指令都已經執行完,異常指令之后的所有指令都尚未執行。
但是我們已經亂序執行了啊,怎么辦?所以ROB承擔起這個責任。
指令亂序執行的時候,要修改什么東西都暫且記著,不真正修改。只有在從ROB里排隊出去的時候,才真正提交修改,維持指令之間的順序關系。
如果一條指令產生了異常,那么它會帶著異常來到ROB排隊。ROB按順序把之前的正常指令全部提交了,看到這條指令帶有異常之后就封鎖出口,異常指令和其后其他指令會被拋棄掉,不予提交。
4. 用現實的例子來解釋的話
- kfc里賣的有薯條、雞塊、漢堡、可樂。
- 李小璐去kfc點了個漢堡,吃完走了。
- 狗仔隊a狗仔排在李小璐后面的后面,和點餐小姐姐說:我要點和李小璐一樣的。
- 點餐小姐姐說,不好意思您前面還有一位,稍等下,但是后廚聽到了,麻溜的做了個漢堡。
- 輪到a狗仔點餐了,點餐小姐姐說。不能這樣點哦,侵犯人家隱私了,保安把這個狗仔滾粗去!
- b狗仔排在a狗仔后面,給小姐姐說:我薯條、雞塊、漢堡、可樂各點一份,餓死了餓死了,哪個快先把哪個給我!
- b狗仔先拿到了“漢堡”!
- b狗仔知道了李小璐今天在kfc買了個漢堡!
一定要提防!
【本文為51CTO專欄“柯力士信息安全”原創稿件,轉載請聯系原作者(微信號:JW-assoc)】
