¿Cómo puedo detectar forzados brutos de baja frecuencia en múltiples conexiones?

4

Si bien me doy cuenta de que los servidores pueden detectar fácilmente estrategias de forzamiento brutal a través de un solo I.P, parece que los servidores serían vulnerables a un ataque distribuido desde una red de bots, y cada computadora intenta una pequeña parte de la lista de contraseñas con poca frecuencia.

¿Existe una firma fácilmente identificable para este tipo de ataques?

    
pregunta baordog 11.09.2013 - 19:34
fuente

2 respuestas

6

Baja frecuencia en un inicio de sesión específico:

Supervise para que después de que x intente un inicio de sesión específico, solo pueda intentarlo después de x segundos / minutos.

Baja frecuencia en un inicio de sesión específico, utilizando CAPTCHA:

Después de las pruebas de x , comience a solicitar un CAPTCHA, tal vez disminuya la velocidad después de que x intente.

Simplemente note que ralentizar algunos intentos usando demoras es casi equivalente a habilitar un ataque DOS contra ese inicio de sesión. Si alguien intenta acceder a su cuenta y falla, terminará agregando un retraso a sus intentos, y usted, el usuario correcto, podría aburrirse.

Baja frecuencia contra inicios de sesión múltiples:

Si la carga general de su servidor aumentó, de manera muy detectable, agregue CAPTCHAs. Si no fue así, su alternativa única será detectar cuántos intentos realizados en su sitio y, nuevamente, tendrá que usar captcha. O agregar un pequeño retraso para todos sus inicios de sesión, y eso no servirá de nada a los usuarios reales ...

    
respondido por el woliveirajr 11.09.2013 - 19:54
fuente
0

Existen algunas técnicas estándar para ayudar con el forzamiento anti-brutal, como extender el retraso entre el servidor que detecta un intento de inicio de sesión fallido y presentar el mensaje de error al usuario final, y hacer que este retraso sea más prolongado si hay un período de alta tasa de fallos (y restablecimiento de la demora después de un período de baja tasa de fallos, por supuesto).

Además, una cosa a considerar podrían ser los patrones en las contraseñas que se presentan en los inicios de sesión fallidos. Los forzados brutos a menudo no eligen contraseñas aleatorias, sino que generan contraseñas de manera automática a partir de un algoritmo que puede ser capaz de predecir o localizar. Obviamente, sería demasiado conveniente si viera un patrón en los inicios de sesión fallidos con contraseñas del patrón 'a', 'aa', 'ab', aab '..' ardvark '...' beast '... y así en, o incluso siguiendo una de las muchas "mejores 500 contraseñas para no usar" listas que están fácilmente disponibles en línea, pero puede haber un patrón discernible de todos modos.

Puede extender esto a múltiples nombres de usuario y solo mirando uno.

Es posible que tengas que emitir un juicio 'confuso'.

    
respondido por el David Scholefield 12.09.2013 - 10:42
fuente

Lea otras preguntas en las etiquetas