大家通常會認(rèn)為暴力破解攻擊只是針對某一種FTP服務(wù)器發(fā)起的攻擊，能具有代表性嗎？

　　隨著Internet的發(fā)展出現(xiàn)了由于大量傻瓜化黑客工具，任何一種黑客攻擊手段的門檻都降低了很多，但是暴力破解法的工具制作都已經(jīng)非常容易，大家通常會認(rèn)為暴力破解攻擊只是針對某一種FTP服務(wù)器發(fā)起的攻擊，能具有代表性嗎?可以拓展到其他的網(wǎng)絡(luò)?或服務(wù)器上嗎?答案當(dāng)然是肯定的。暴力破解這種軟件，使用起來沒有什么技術(shù)含量原理就是一個接一個的試，直到試驗(yàn)出正確的密碼，也就是破解成功了。不過這種破解方式成功幾率不高，耗費(fèi)時(shí)間多，技術(shù)成分低，不是迫不得已是不使用的。在網(wǎng)絡(luò)的實(shí)際情況中，很多FTP服務(wù)器雖說都是經(jīng)過了層層的安全防護(hù)的，即便是經(jīng)過防護(hù)的FTP服務(wù)器，同樣可以在攻擊者簡單地調(diào)整攻擊方式以后，運(yùn)用暴力破解快速突破。本文談?wù)劯鞣N攻擊技術(shù)對服務(wù)器的影響，僅供網(wǎng)絡(luò)管理人員在平時(shí)工作中，制定安全防范策略時(shí)參考使用。

　　一、網(wǎng)絡(luò)本身的負(fù)載能力與高速網(wǎng)絡(luò)

　　所有的網(wǎng)絡(luò)攻擊，都是基于網(wǎng)絡(luò)而發(fā)起的，這就決定了網(wǎng)絡(luò)是一切網(wǎng)絡(luò)攻擊、安全防護(hù)技術(shù)的根本。如果攻擊者處于一個網(wǎng)絡(luò)資源極度缺乏的環(huán)境之中，想要發(fā)起高級的網(wǎng)絡(luò)攻擊也是力不從心的。同時(shí)，如果防御者處于一個并非優(yōu)秀的網(wǎng)絡(luò)中，網(wǎng)絡(luò)正常服務(wù)本身都很難為正常用戶提供，更不用說進(jìn)行網(wǎng)絡(luò)安全防護(hù)了。

　　1. 網(wǎng)絡(luò)帶寬的束縛

　　從國內(nèi)剛剛出現(xiàn)互聯(lián)網(wǎng)開始，到今天網(wǎng)絡(luò)的普及，網(wǎng)齡比較長的網(wǎng)民都經(jīng)歷了使用調(diào)制解調(diào)器撥號上網(wǎng)的舉步維艱，也都經(jīng)歷了1Mb/s、2Mb/s甚至10Mb/s的高速網(wǎng)絡(luò)，而網(wǎng)絡(luò)安全，同樣經(jīng)歷了這樣的一個由慢到快、從低速到高速的過程，在這個過程之中，很多原本看起來根本不可能的攻擊技術(shù)，也已經(jīng)可以很順暢地發(fā)起了。很多攻擊者在進(jìn)行這樣的攻擊的時(shí)候，都會發(fā)現(xiàn)一個很奇特的現(xiàn)象：剛剛對目標(biāo)發(fā)起了分布式的暴力破解攻擊，10分鐘后目標(biāo)服務(wù)器因?yàn)閹挀矶拢谷话c瘓了……

　　對攻擊者來說，這是很讓人啼笑皆非的事情，因?yàn)楣粽叩哪繕?biāo)原本是為了通過暴力破解獲得某些機(jī)密的、內(nèi)部的FTP資料，但是無意間卻造成了目標(biāo)服器的整體癱瘓，這顯然是攻擊者不愿意看到的結(jié)果。這也是攻擊者和網(wǎng)絡(luò)安全工程師因?yàn)榫W(wǎng)絡(luò)帶寬造成的困擾之一。

　　另一方面，暴力破解因?yàn)樽陨硖匦裕械尿?yàn)證過程都是通過向服務(wù)器據(jù)提交信息、獲得服務(wù)器返回信息并進(jìn)行判斷而進(jìn)行的。在這個過程中，不管是服務(wù)器的網(wǎng)絡(luò)帶寬質(zhì)量，還是攻擊者使用的僵尸計(jì)算機(jī)本身的網(wǎng)絡(luò)帶寬速度，都在很大程度上決定了暴力破解整個完成時(shí)間的長短。就目前的網(wǎng)絡(luò)帶寬來說，要順暢、高速地發(fā)起FTP的暴力破解攻擊，還是有一定難度的。一般情況下攻擊者動用上百臺僵尸計(jì)算機(jī)進(jìn)行攻擊就已經(jīng)是暴力破解的極限，因?yàn)榧词乖僭黾咏┦?jì)算機(jī)，網(wǎng)絡(luò)帶寬的限制也不允許更多的數(shù)據(jù)收發(fā)的進(jìn)行。所以，第二個限制暴力破解攻擊整體效率提高的因素，就是僵尸計(jì)算機(jī)本身的網(wǎng)絡(luò)帶寬質(zhì)量。

　　從現(xiàn)階段國內(nèi)四處都在進(jìn)行的轟轟烈烈的網(wǎng)絡(luò)速度提升來看，不難預(yù)見不久后的將來，整體網(wǎng)絡(luò)速度將有非常大的提高。就像今天國際公認(rèn)的平均個人網(wǎng)速最快的國家韓國一樣，人均網(wǎng)速達(dá)到10Mb/s，20Mb/s甚至更多。

　　雖然網(wǎng)絡(luò)速度的提升正在飛速的發(fā)展著，但是對攻擊者來說，不可能恰好子就遇到擁有高速網(wǎng)絡(luò)的僵尸計(jì)算機(jī)或者目標(biāo)服務(wù)器。于是就有讀者提問：現(xiàn)階段的攻擊者是如何解決網(wǎng)絡(luò)帶寬的問題的呢?以后如果出現(xiàn)網(wǎng)絡(luò)整體速度都得到很大提升的時(shí)候，攻擊者的暴力破解攻又將有怎么樣的發(fā)展呢?

　　2.內(nèi)部高速網(wǎng)絡(luò)和分布式破解解決帶寬難題

　　先解決第一個問題：現(xiàn)階段的攻擊者是如何解決網(wǎng)絡(luò)帶寬的問題的呢?舉例來說，一個攻擊者妄圖獲得某會員制網(wǎng)站的FTP賬戶權(quán)限，因?yàn)槔锩嬗泻芏鄡?nèi)部付費(fèi)使用的資料。但是這個會員制網(wǎng)站服務(wù)器的網(wǎng)絡(luò)帶寬質(zhì)量并不高，如果采用分布式的暴力破解攻擊，可能十幾臺僵尸計(jì)算機(jī)就足以讓這個服務(wù)器癱瘓了，攻擊者顯然是不愿意看到這樣情況的發(fā)生的。

　　在實(shí)際的網(wǎng)絡(luò)攻擊案例中，很多攻擊者都遇到了這樣的問題，他們的解決方法也很巧妙，也非常實(shí)用：利用內(nèi)部網(wǎng)絡(luò)通信的高速來解決暴力破解的網(wǎng)絡(luò)帶寬難題。有一定網(wǎng)絡(luò)經(jīng)驗(yàn)的網(wǎng)民都知道，中國現(xiàn)在的服務(wù)器，一般都是托管在IDC或者機(jī)房的，而正常情況下IDC或者機(jī)房會進(jìn)行很多的網(wǎng)絡(luò)帶寬限制，在機(jī)房的入口路由或者機(jī)柜的防火墻上限制帶寬，讓由外對內(nèi)的網(wǎng)絡(luò)帶寬變得很窄-畢竟機(jī)房很多情況下都是通過帶寬來進(jìn)行托管收費(fèi)的。

　　現(xiàn)在的服務(wù)器配置一般都是千兆網(wǎng)卡，但是對外的網(wǎng)絡(luò)帶寬不可能做到千兆全開。一般中小站點(diǎn)能購買5～10Mb/s的獨(dú)立帶寬就很不錯了，也就是說這樣的服務(wù)器在提供對外的訪問的時(shí)候，即使網(wǎng)絡(luò)堵塞了，用戶打不開網(wǎng)站了，F(xiàn)TP無法提供正常服務(wù)了。實(shí)際上就服務(wù)器本身的硬件性能來說，還有極大的容余可以用來提供網(wǎng)絡(luò)服務(wù)，只是出入口網(wǎng)絡(luò)帶寬不足而已。就目前國內(nèi)的整體網(wǎng)絡(luò)安全意識來看，對資深的攻擊者來說，在一個存放著幾百臺服務(wù)器的機(jī)房中找尋一臺"肉雞"，并不是很難的技術(shù)問題。找到這樣的內(nèi)部服務(wù)器有什么用呢?攻擊者當(dāng)然可以選擇用來發(fā)起暴力破解攻擊。對一個千兆網(wǎng)卡來說，如果是在內(nèi)部網(wǎng)絡(luò)中進(jìn)行訪問，數(shù)據(jù)的中轉(zhuǎn)和網(wǎng)絡(luò)損耗本是可以忽視的。這就好比由一個1Mb/s的ADSL貓連接的兩個家用計(jì)算機(jī)，雖然從網(wǎng)絡(luò)上下載文件大概只有150Mb/s的速度，但是如果兩個計(jì)算機(jī)之間傳送文件的話，8Mb/s的內(nèi)網(wǎng)速度還是很容易實(shí)現(xiàn)的。所以，現(xiàn)階段的攻擊者如果想要發(fā)起效率非常高的FTP暴力破解，在目標(biāo)服務(wù)器的網(wǎng)絡(luò)帶寬存在束縛的時(shí)候，-機(jī)柜中的服務(wù)器，并利用內(nèi)部網(wǎng)絡(luò)高速的特點(diǎn)發(fā)起超快的FTP暴力破解。

　　再說說另一個問題：以后如果出現(xiàn)網(wǎng)絡(luò)整體速度都得到很大提升的情況，攻擊者的暴力破解攻擊又將有怎么樣的發(fā)展呢? 其實(shí)同第一個問題相比，這個問題已經(jīng)在大范圍內(nèi)得到了解決，而且很多攻擊者現(xiàn)在就是這樣發(fā)起攻擊的，那就是：分布式暴力破解。在之所有有些攻擊者因?yàn)榫W(wǎng)絡(luò)帶寬的問題無法發(fā)起大范圍的分布式暴力破解攻擊，原因更多的還是目標(biāo)服務(wù)器的網(wǎng)絡(luò)帶寬限制，而不是僵尸計(jì)算機(jī)本身的網(wǎng)絡(luò)帶寬。因?yàn)榻┦?jì)算機(jī)的網(wǎng)絡(luò)帶寬就算不足，就算很慢，攻擊者完全可以使用數(shù)量代替質(zhì)量的方式，利用很多網(wǎng)絡(luò)帶寬不好的僵尸計(jì)算機(jī)發(fā)起大規(guī)模的暴力破解，畢竟因?yàn)榫W(wǎng)絡(luò)安全意識低下，僵尸計(jì)算機(jī)還是很容易捕獲的。當(dāng)目標(biāo)服務(wù)器的帶寬在不久后的未來得到大力提升的時(shí)候，攻擊者完全可以利用成千上萬的僵尸計(jì)算機(jī)發(fā)起大規(guī)模的分布式暴力破解攻擊，只要目標(biāo)計(jì)算機(jī)的網(wǎng)絡(luò)帶寬足以承受這樣的攻擊，那么攻擊者在極短的時(shí)間內(nèi)就可以完成看似非常龐大的密碼集的暴力破解攻擊。

　　二、CPU運(yùn)算、處理能力低下的解決方法

　　同幾年前的硬件性能相比，現(xiàn)在的計(jì)算機(jī)、服務(wù)器的運(yùn)算處理能力已經(jīng)得到了飛速的發(fā)展。正如計(jì)算機(jī)專家普遍認(rèn)為的一樣，可以預(yù)見的是，硬件處理能力的提高將在很長一段時(shí)間內(nèi)，持續(xù)而穩(wěn)定地高速進(jìn)步。

　　1. 運(yùn)算處理能力的束縛

　　單就暴力破解來說，運(yùn)算處理能力包括兩方面的束縛：一方面是目標(biāo)服務(wù)器的處理能力，另一方面是發(fā)起攻擊的計(jì)算機(jī)的處理能力。目標(biāo)服務(wù)器的處理能力決定了攻擊者可以運(yùn)用多大量級的攻擊規(guī)模。

　　比如針對一個普通的小型FTP服務(wù)器，典型的配置是4GB左右的CPU速度，2～4GB的內(nèi)存容量。針對這樣的小型FTP服務(wù)器，在不考慮網(wǎng)絡(luò)帶寬的理論狀態(tài)情況下，攻擊者使用每秒10000～20000次左右的暴力破解攻擊效率就基本達(dá)到了極限，就算攻擊者發(fā)起更高效率的暴力破解也無法獲得更快的結(jié)果。在實(shí)際情況中，攻擊者要發(fā)起這樣效率的攻擊是比較簡單的，甚至不用使用到大規(guī)模的僵尸計(jì)算機(jī)群就可以做到。

　　隨著計(jì)算機(jī)硬件的發(fā)展，如果服務(wù)器在處理包含了數(shù)個指令的FTP暴力破解信息的時(shí)候，能夠做到每秒理論上數(shù)十萬、數(shù)百萬次的請求和應(yīng)答運(yùn)算，那攻擊者完全就可以放開手腳進(jìn)行暴力破解攻擊了。

　　現(xiàn)在的網(wǎng)絡(luò)中，有些攻擊者動用龐大的僵尸計(jì)算機(jī)群，發(fā)起每秒上十萬次的FTP暴力破解請求，因?yàn)镕TP暴力破解的過程是通過連接服務(wù)器→獲得連接信息→發(fā)送賬戶→獲得需求密碼信息→發(fā)送可能的密碼→獲得反饋信息→再次發(fā)起服務(wù)器連接，這樣的過程循環(huán)進(jìn)行的，所以看似快速的服務(wù)器處理能力并不能滿足不斷堆積的攻擊者計(jì)算機(jī)連接請求。這就導(dǎo)致了很多攻擊計(jì)算機(jī)發(fā)送的密碼驗(yàn)證信息被丟棄，攻擊計(jì)算機(jī)無法獲得正常的服務(wù)器返回信息，最終導(dǎo)致暴力破解失敗。發(fā)起攻擊的計(jì)算機(jī)的處理能力決定了攻擊者是否需要動用分布式的暴力破解攻擊。同被攻擊目標(biāo)服務(wù)器不同的是，被攻擊者控制的僵尸計(jì)算機(jī)的運(yùn)算能力并不直接決定暴力破解的成敗，而是對暴力破解的整個時(shí)間和成功率有非常重要的影響。

　　在理論極限中，不考慮網(wǎng)絡(luò)帶寬，只考慮硬件處理能力的情況下，假使FTP服務(wù)器每次處理一個完整的FTP連接請求需要萬分之一秒，而同時(shí)能處理的請求數(shù)目是10000個。那么，最完美的暴力破解模型是使用10000個僵尸計(jì)算機(jī)，完成萬分之一秒內(nèi)的暴力破解攻擊。也就是說，在最小的目標(biāo)服務(wù)器的處理能力下，使用目標(biāo)服務(wù)器最大的處理能力來進(jìn)行暴力破解。這樣的暴力破解攻擊成功率理論是100%，而在保證了成功率的基礎(chǔ)上，時(shí)間是最短的。那么，現(xiàn)在的攻擊者是如何解決服務(wù)器和僵尸計(jì)算機(jī)運(yùn)算處理能力的呢?

　　2. 分布式暴力破解提高成功率

　　分布式暴力破解在很多時(shí)候是提高成功率的保障。對攻擊者來說，目標(biāo)服務(wù)器的處理能力是不可控的，攻擊者是無法提高目標(biāo)服務(wù)器的處理能力的，所以必須適應(yīng)目標(biāo)服務(wù)器的處理能力，由此才采用了分布式的暴力破解技術(shù)。

　　采用分布式窮舉的好處是，在攻擊者不知道目標(biāo)服務(wù)器的負(fù)載能力的時(shí)候，可以通過靈活的調(diào)整僵尸計(jì)算機(jī)的數(shù)量，來逐漸摸索目標(biāo)服務(wù)器的負(fù)載能力，以便達(dá)到在目標(biāo)服務(wù)器不丟包、不誤報(bào)的情況下，在保證最高成功率的前提下，盡量提升暴力破解的時(shí)間。舉例來說，如果目標(biāo)服務(wù)器的負(fù)載能力是每秒處理1000次FTP連接、賬戶密碼驗(yàn)證、信息發(fā)送，攻擊者如果使用每秒可以完成10次上述過程的僵尸計(jì)算機(jī)進(jìn)行暴力破解，如果攻擊者使用了10000臺僵尸計(jì)算機(jī)，那目標(biāo)服務(wù)器的運(yùn)算能力顯然是跟不上的，也就可能出現(xiàn)誤報(bào)或者錯誤的情況，最佳的情況是使用100臺僵尸計(jì)算機(jī)，滿足目標(biāo)服務(wù)器的運(yùn)算處理能力最大化，并且也能夠在保證100%成功的基礎(chǔ)上最大化地縮小暴力破解時(shí)間。

　　總的來說，分布式暴力破解是對攻擊者的攻擊經(jīng)驗(yàn)的一種考驗(yàn)。如果分布的僵尸計(jì)算機(jī)數(shù)量太多，結(jié)果可能是很快完成了暴力破解，但是因?yàn)檎`報(bào)和丟棄的存在，而無法獲得正確的密碼：如果分布的僵尸計(jì)算機(jī)數(shù)量太少，雖然可以很穩(wěn)妥地進(jìn)行完全部的暴力破解攻擊，獲得想要的密碼，但是時(shí)間可能極長。

　　3.根據(jù)僵尸計(jì)算機(jī)的性能編寫高效率的暴力破解程序

　　另外一個能在保證成功率的前提下，同時(shí)大大縮短暴力破解的時(shí)間的方法是調(diào)整暴力破解程序的運(yùn)行速度。一個適合僵尸計(jì)算機(jī)處理能力的暴力破解程序在攻擊過程中是非常重要的。

　　如果暴力破解程序在僵尸計(jì)算機(jī)上運(yùn)行很吃力，已經(jīng)超出了僵尸計(jì)算機(jī)的處理能力，結(jié)果可能是原本正確的密碼也得不到相應(yīng)的正確結(jié)果，因?yàn)榻┦?jì)算機(jī)已經(jīng)無法完成各種信息的收發(fā)和處理了。

　　如果暴力破解程序在僵尸計(jì)算機(jī)上運(yùn)行得很輕松，系統(tǒng)性能有很多的容余，這樣的情況下，整個暴力破解的時(shí)間將會很長。所以，要發(fā)起一個在保證成功率的前提下，還要盡量縮短暴力破解時(shí)間的攻擊，需要攻擊者根據(jù)自己的僵尸計(jì)算機(jī)的情況，選擇不同的暴力破解程序消耗，以盡量達(dá)到成功率和時(shí)間兩者的平衡。

　　三、 安全策略的突破

　　如果苛刻地說網(wǎng)絡(luò)帶寬和運(yùn)算處理能力都是非技術(shù)因素，無法可控地進(jìn)行優(yōu)化的話，那么安全策略就是最直接也是最有效的防御措施了。對暴力破解來說，安全策略在很大程度上對暴力破解的成功率、時(shí)間甚至是否能發(fā)起攻擊都存在著很大的影響。不過之所以說暴力破解是一種放之四海而皆準(zhǔn)的攻擊方式，就在于它可以經(jīng)過攻擊者簡單的變化，而達(dá)到突破安全策略的目的。需要指出的是，本節(jié)的安全策略是單獨(dú)的和暴力破解相關(guān)的安全策略，并沒有涉及諸如密碼期限、密碼長度、通信加密等與暴力破解無關(guān)的安全策略。

　　1. 連接頻率限制及其突破

　　隨著網(wǎng)絡(luò)安全意識的逐漸提高，重視安全的管理員一般會限制FTP服務(wù)器的連接頻率。所謂的連接頻率是指管理員定義了在特定時(shí)間段內(nèi)的同一用戶的連接次數(shù)，在這個次數(shù)限制之內(nèi)可以任意連接，如果超出這個次數(shù)限制則拒絕連接。

　　網(wǎng)絡(luò)安全工程師或管理員通過對連接頻率的限制，一方面可以合理地分配FTP服務(wù)器的處理運(yùn)算能力，避免出現(xiàn)某一個用戶因?yàn)槭褂昧顺斓倪B接而大量占用服務(wù)器資源的情況，另一方面可以對普通的基于賬戶密碼的暴力破解攻擊進(jìn)生行之有效地限制。

　　大家注意實(shí)際網(wǎng)絡(luò)中也存在其他時(shí)間和連連接頻率限制的規(guī)則，不一定是5秒一次連接，也不一定是10秒后才允許下一次連接。如果是默認(rèn)的高效率的FTP暴力破解，一般情況下都是一秒發(fā)起上百次連接嘗試，大大地超出了服務(wù)器允許的范圍，所以這樣的暴力破解顯然是不能成功的，會被服務(wù)器一直拒絕連接。針對這樣的情況，有經(jīng)驗(yàn)的攻擊者在發(fā)現(xiàn)目標(biāo)服務(wù)器存在這樣的連接頻率限制以后，會適當(dāng)?shù)匦薷谋┝ζ平獬绦虻倪B接頻率，讓攻擊程序在滿足安全策略的前提下進(jìn)行暴力破解。

　　比如，攻擊者完全可以定義攻擊程序每5.1秒進(jìn)行一次FTP暴力破解嘗試，以達(dá)到躲開安全策略限制的目的。這樣的頻率限制策略看似在效率上大大地阻礙了暴力破解的進(jìn)行， 但是如果只有這一種安全策略的話，是無法阻擋攻擊者發(fā)起高效的暴力破解的，實(shí)際上攻擊者可以通過其他攻擊策略的改變來變相提高整個暴力破解的效率。

　　2. 嘗試錯誤次數(shù)限制及其突破

　　同連接頻率相比，錯誤次數(shù)限制更常見一些，網(wǎng)絡(luò)上很多FTP服務(wù)器的管理員或者工程師都使用了這個安全策略。嘗試錯誤次數(shù)限制是指某FTP用戶的錯誤發(fā)生次數(shù)，當(dāng)該用戶的密碼嘗試次數(shù)超過規(guī)定的次數(shù)以后，則短期拒絕該用戶的連接。舉例來說，網(wǎng)絡(luò)安全工程師可以設(shè)定這樣的安全策略：從某用戶嘗試登錄開始，連續(xù)5次輸入密碼錯誤，則返回錯誤信息，并在FTP系統(tǒng)中拒絕該用戶的下一次密碼驗(yàn)證，直到超過設(shè)定的限制時(shí)間結(jié)束。

　　這樣做的好處可以在很大程度上限制普通暴力破解攻擊的發(fā)起，因?yàn)楹芏啾┝ζ平夤舳际窃跓o數(shù)的錯誤中找尋一個正確的密碼。如果遇到這樣的策略，暴力破解就幾乎沒有成功率可言了。不過錯誤次數(shù)限制實(shí)際上也是可以突破的，而且突破的方法也并不難。

　　對有經(jīng)驗(yàn)的攻擊者來說，一旦發(fā)現(xiàn)目標(biāo)系統(tǒng)存在錯誤次數(shù)限制，則會通過手工驗(yàn)證的方式，徹底摸清究竟允許幾次密碼錯誤，后續(xù)的拒絕連接時(shí)間究竟是多少?一旦弄明白這兩點(diǎn)，攻擊者會很容易地調(diào)整暴力破解策略，突破次數(shù)限制。舉例來說，如果管理員限制了5次連續(xù)錯誤后30秒不允許連接，則攻擊者可以定義暴力破解程序以5次為一個循環(huán)，每發(fā)起5次攻擊就暫停30秒，然后再繼續(xù)嘗試。 另外一種方式是每5次嘗試一個新賬戶，在服務(wù)器開始拒絕當(dāng)前賬戶連接的時(shí)候，使用新的賬戶進(jìn)行暴力破解嘗試，直到所有的用戶名都嘗試過一遍再重頭開始。還有一個大多數(shù)攻擊者采用的方式就是利用分布式的攻擊來解決錯誤次數(shù)的限制，每個僵尸計(jì)算機(jī)都使用獨(dú)立秒，然后再進(jìn)行后續(xù)的嘗試。

　　3. IP鎖定及其突破

　　同上面的兩種安全策略相比，IP鎖定比較難解決一些，不過只要目標(biāo)FTP考慮讓正常用戶使用，那暴力破解就肯定可以發(fā)起。IP鎖定策略一般是和連接頻率、錯誤次數(shù)策略配合使用，也就是說當(dāng)某賬戶進(jìn)行連接以后，如果連接頻率過高，或者錯誤次數(shù)超過限制，則開始運(yùn)用IP鎖定策略。

　　在實(shí)際網(wǎng)絡(luò)中，IP鎖定策略有兩個典型的應(yīng)用方式，一種是當(dāng)某賬戶出現(xiàn)異常以后，F(xiàn)TP服務(wù)器記錄這個賬戶的IP地址，然后加入自己的黑名單，從此以后均拒絕此IP的連接，除非該用戶聯(lián)系管理員解除黑名單限制;另一種方式是IP限制是暫時(shí)的，過一段時(shí)間會自動解除。針對自動解除限制的情況，攻擊者可以制一樣的方法，調(diào)整暴力破解的循環(huán)時(shí)間，在限制時(shí)間過后，繼續(xù)發(fā)起暴力破解攻擊。針對永久封鎖IP的情況，有四種方法可以突破：

　　(1).使用代理突破IP封鎖

　　單純地使用代理來進(jìn)行FTP暴力破解是無法突破IP鎖定的，只有暴力破解程序可以自動讀取代理列表，然后在目標(biāo)系統(tǒng)允許的情況下，發(fā)起幾次暴力破解，然后再更換代理繼續(xù)發(fā)起攻擊。這個方法實(shí)現(xiàn)起來雖然簡單，但是實(shí)際效果并不好，因?yàn)榫退闶蔷W(wǎng)絡(luò)攻擊者也不能夠保證構(gòu)建一個擁有足夠多代理，并且連接速度穩(wěn)定、不產(chǎn)生意外數(shù)據(jù)接收錯誤的代理群，如何獲得更多的代理呢?我們可以去網(wǎng)頁上搜索，也可以自己用代理獵手來找代理，他最大的特點(diǎn)是搜索速度快，最快可以在十幾分鐘內(nèi)搜完一個B類地址。如果單純的代理無法滿足需要的話我們還可以換用Muti Proxy實(shí)現(xiàn)IP動態(tài)自由切換功能，通過使用Sockscap+Sksockserver實(shí)現(xiàn)完美組合以達(dá)到組合代理的需求。如下圖1、2所示。

　　圖1

　　圖2

　　2) .使用ADSL類的動態(tài)IP機(jī)制突破IP封鎖

　　很多人都知道ADSL每次重新?lián)芴栆院蠖紩峙湟粋€新的IP，而且網(wǎng)絡(luò)中也已經(jīng)存在很多不斷自動撥號的程序，如果攻擊者愿意，自己編寫一個類似的程序和暴力破解程序相配合，完全可以做到無差別的暴力破解。當(dāng)然，使用網(wǎng)絡(luò)上己有的自動撥號程序也可以滿足要求。

　　這個方法總的來說是比較好的，但是對攻擊者的僵尸計(jì)算機(jī)有一定的要求。

　　3) .使用SteganosIntemet Anonym Pro和Hide Ip Easy之類的程序突破IP封鎖

　　圖3

　　Steganos Internet Anonym Pro是國外頂級黑客研究出的自動變化IP，的程序，是一套功能強(qiáng)大的網(wǎng)絡(luò)身份隱藏工具軟件，用戶可以通過該軟件很簡單地隱藏自已的IP、更換自己的IP。一般情況下，Steganos Internet Anonym Pro的IP變化是1秒鐘變一次，而IP地址的位置一會兒在英國，一會兒在加拿大，變換頻率非常快。從原理上講，Steganos　Intemet Anonym Pro是通過代理方式實(shí)現(xiàn)IP地址不停變化目的的，因此在IP地址變換之前，需要先測試該程序內(nèi)置代理服務(wù)器的工作是否正常，并根據(jù)測試結(jié)果篩選出工作性能最穩(wěn)定的代理服務(wù)器，如圖4所示。使用Steganos　Intemet Anonym Pro發(fā)起暴力破解攻擊的話，攻擊者如果適當(dāng)?shù)卣{(diào)整了暴力破解程序和循環(huán)間隔，以適應(yīng)SteganosIntemet Anonym Pro的IP變換間隔，完全可以做到無視IP限制策略。

　　圖4

　　4). 計(jì)算機(jī)標(biāo)識限制及其突破

　　最煩瑣的FTP安全策略就是使用用戶計(jì)算機(jī)的標(biāo)識來進(jìn)行限制了。所謂用戶計(jì)算機(jī)的標(biāo)識是指在FTP服務(wù)器和用戶計(jì)算機(jī)的交互中，服務(wù)器通過某種途徑記錄了用戶計(jì)算機(jī)的某些標(biāo)識，如MAC地址、Ccookies信息、硬件編號等。當(dāng)管理員設(shè)置的連接頻率、錯誤次數(shù)限制達(dá)到的時(shí)候，F(xiàn)TP服務(wù)器就會根據(jù)計(jì)算機(jī)標(biāo)識來識別用戶計(jì)算機(jī)，進(jìn)而進(jìn)行連接限制。

　　這樣的限制方法在網(wǎng)絡(luò)上出現(xiàn)的不多，不過國外的某些營利性組織經(jīng)常使用這樣的方法來進(jìn)行安全保障，比如投資公司、股票顧問、非法博彩等站點(diǎn)。從技術(shù)上說，這樣的策略是比較狠的，要對這樣策略下的FTP服務(wù)器進(jìn)行暴力破解攻擊，比較難--但不是說毫無辦法。舉例來說，常見的這種限制是通過網(wǎng)卡的MAC地址識別來實(shí)現(xiàn)的，而MAC地址是可以更改的，攻擊者完全可以自己編寫程序，每次暴力破解發(fā)起的時(shí)候，都改變一次MAC地址。當(dāng)然，網(wǎng)絡(luò)中到處都是MAC地址的改變程序，甚至很多硬件信息也是可以隨意生成的，如Mac MakeUp等，如圖5

　　圖5

　　如果目標(biāo)FTP服務(wù)器是通過cookies等信息來輔助驗(yàn)證的話，突破方法就更為簡單了。攻擊者可以自己編程實(shí)現(xiàn)每次暴力破解前都清空一次cookies，也可以使用SteganosIntemet Anonym Pro等工具實(shí)現(xiàn)cookies自動刪除、瀏覽記錄自動刪除等。

四、應(yīng)對措施第三方軟件Fail2ban加固方法

魔高一尺道高一丈，總的來說，只要FTP服務(wù)器妄圖讓正常用戶使用，要徹底地杜絕FTP的暴力破解攻擊就非常困難，至少目前沒有辦法實(shí)現(xiàn)，下面我們用第三方軟件來進(jìn)行加固，經(jīng)過筆者長期對比發(fā)現(xiàn)Fail2ban對于解決暴力破解、非法掃描能起到比較好的效果，它是一個基于防火墻鏈添加新規(guī)則構(gòu)成，并發(fā)送e-mail通知系統(tǒng)管理員。Fail2ban不僅可以使用自動識別可能的暴力入侵，而且可按照快速且簡易的用戶自定義規(guī)則去分析，因?yàn)閒ail2ban 的原理是調(diào)用iptables 實(shí)時(shí)阻擋外界的攻擊，按照你的要求在一段時(shí)間內(nèi)找出符合條件的日志，然后動作，所以你的系統(tǒng)里必選裝有iptables，以及Python的支持。

1.下載安裝：

在基于debian系統(tǒng)下安裝fail2ban是非常暢快的。以root用戶執(zhí)行下列命令

在GNU/Linux 系統(tǒng)上源碼安裝，為了編譯Fail2ban，你需要下載最新的源碼（ ）。當(dāng)獲取后，你可以該改變你的源碼目錄，并執(zhí)行下列命令：

你會在當(dāng)前工作目錄下得到一個Fail2ban的解壓后的源碼目錄。你須CD到新的目錄中。現(xiàn)在以root用戶執(zhí)行安裝：

Fail2ban 會安裝在 /usr/share/fail2ban/ 和 /usr/bin/目錄中，裝好后，稍微根據(jù)自己的情況改一下配置就可以使用了。

2.系統(tǒng)配置

一個典型的配置文件如下：

每個.conf文件都會被名為 .local的文件覆蓋。.conf首先被讀取，其次是.local。新的配置會覆蓋早先的。因此,.local 文件不必包含每個相應(yīng)于.conf中的選項(xiàng),只是填寫你想要覆蓋的設(shè)置。

首先編輯fail2ban.conf

#vi /etc/fail2ban.conf#以 daemon 方式啟動 fail2ban
background = true#允許嘗試次數(shù)
maxfailures = 3#觸發(fā) maxfailures 之後的封鎖時(shí)間(秒); 設(shè)為 -1 表示永遠(yuǎn)封鎖
bantime = 3600#以 findtime (秒) 時(shí)間內(nèi)的錯誤記錄作為 maxfailures 的計(jì)數(shù)基準(zhǔn)
findtime = 600#排除 IP 范圍, 以空白隔開
ignoreip = 127.0.0.1 192.168.0.0/24#不啟用 mail 通知
[MAIL]enabled = false#修改自 VSFTPD, 未提及的部份保持原設(shè)定
[PROFTPD]enabled = true
logfile = /var/log/proftpd/proftpd.log
failregex = no such user|Incorrect password #未提及的部份保持原設(shè)定
[SSH]enabled = true
logfile = /var/log/secureservice fail2ban

開始啟動這個服務(wù)啟動以后，每天都能在 /var/log/fail2ban.log 中看到有攻擊的肉雞被 ban 了。

下面一步就復(fù)制初始化腳本到系統(tǒng)的 /etc/init.d 目錄下，執(zhí)行chkconfig 和update-rc.d或手工創(chuàng)建一個符號鏈接，設(shè)置權(quán)限

# chmod 755 /etc/init.d/fail2ban
#chkconfig -a fail2ban
#ln -s /etc/init.d/fail2ban /etc/rc2.d/S20fail2ban

最后，整合fail2ban到日志循環(huán)中

創(chuàng)建文件："/etc/logrotate.d/fail2ban":
/var/log/fail2ban.log {
weekly
rotate 7
missingok
compress
postrotate
/usr/local/bin/fail2ban-client reload 1>/dev/null || true
endscript

最后是Iptables微調(diào)，只允許每組IP同時(shí)5個21端口轉(zhuǎn)發(fā) ，類似功能大家可以去發(fā)揮。

#iptables -A FORWARD -p tcp --syn --dport 21 -m connlimit --connlimit-above 5 --connlimit-mask 24 -j DROP

好了，經(jīng)過安裝、配置下面我們看看使用它的效果吧，先瀏覽一下iptables

#iptables -L -nv
pkts bytes targetprotopt inoutsourcedestination
301 12740 fail2ban-ftp tcp -- **0.0.0.0/00.0.0.0/0tcp dpt:21
3354 253K fail2ban-SSH tcp -- **0.0.0.0/00.0.0.0/0tcp dpt:22
438 33979 fail2ban-httpdtcp -- **0.0.0.0/00.0.0.0/0tcp dpt:80
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes targetprot opt inoutsourcedestination
Chain OUTPUT (policy ACCEPT 5703 packets, 829K bytes)
pkts bytes targetprot opt inoutsourcedestination
Chain fail2ban-SSH (1 references)
pkts bytes targetprot opt inoutsourcedestination
3354 253K RETURNall -- **0.0.0.0/00.0.0.0/0
Chain fail2ban-ftp (1 references)
pkts bytes targetprot opt inoutsourcedestination
301 12740 RETURNall -- **0.0.0.0/00.0.0.0/0
Chain fail2ban-httpd (1 references)
pkts bytes targetprot opt inoutsourcedestination
438 33979 RETURNall -- **0.0.0.0/00.0.0.0/0

查看fail2ban的日志

通過以下命令就能方便的查看到被記錄的非法暴力破解IP

最后，我們要注意fail2ban是一個日志分析器，在寫入日志前不會做任何事情。大多數(shù)系統(tǒng)日志守護(hù)進(jìn)程都會緩沖他們的輸出。這可能會和fail2ban性能有所沖突。因此，最好能禁止緩沖你的系統(tǒng)日志守護(hù)進(jìn)程，以提高性能。目前來看，只要FTP服務(wù)器希望讓正常用戶使用，要完全杜絕FTP暴力破解攻擊就會很難，因此要從細(xì)微之處入手，盡量降低被暴力破解的概率。