무차별 암호 대입 공격을 방지하기 위한 상위 5가지 도구
게시 됨: 2023-02-09무차별 대입 공격이란 무엇입니까?
무차별 암호 대입 공격은 궁극적으로 올바른 암호를 올바르게 추측하기 위해 다양한 암호를 시도하는 해킹 기술입니다. 무차별 대입 공격의 첫 번째 단계는 대상을 선택하는 것입니다. 따라서 해커는 열린 포트를 찾는 네트워크를 스캔한 다음 암호를 추측하려고 시도합니다. 해커가 올바른 암호를 추측하면 로그인을 시도합니다. 로그인하면 네트워크를 완전히 제어할 수 있습니다.
무차별 대입 공격은 시스템을 동시에 겨냥/전송하는 대량의 데이터를 사용하여 대상 시스템을 공격합니다. 대상 서버 또는 서비스에 요청 또는 많은 쓸모없는 정보를 보냅니다. 이러한 공격은 서버와 네트워크 장치를 압도하는 데 사용됩니다.
무차별 대입 공격에서 공격자는 많은 컴퓨팅 성능을 사용하여 시스템을 손상시키려고 시도합니다. 앞에서 설명한 것처럼 무차별 대입 공격은 암호를 추측하거나 작동하는 문자를 찾을 때까지 문자 조합을 시도하는 방법입니다. 공격은 종종 자동화됩니다. 즉, 사람의 입력 없이 수행됩니다. 이러한 유형의 공격을 종종 "해킹"이라고 합니다.
무차별 암호 대입 공격을 표시하는 방법은 무엇입니까?
다음과 같은 무차별 암호 대입 공격을 나타내는 몇 가지 작업 –
- 반복된 로그인 시도: 짧은 시간 내에 많은 수의 로그인 시도에 실패하면 무차별 암호 대입 공격이 있음을 분명히 알 수 있습니다.
- 높은 리소스 사용량: 무차별 대입 공격은 많은 수의 로그인 시도를 처리하려고 하기 때문에 대상 서버에서 높은 CPU 또는 메모리 사용량을 유발할 수 있습니다.
- 비정상적인 네트워크 트래픽: 무차별 대입 공격은 네트워크 트래픽 패턴을 모니터링하여 감지할 수 있는 많은 양의 수신 트래픽을 생성합니다.
- 의심스러운 IP 주소: 서버에 반복적으로 연결을 시도하는 의심스러운 IP 주소에 대한 로그를 확인할 수 있습니다.
Linux 서버에서 SSH 무차별 암호 대입 공격을 어떻게 식별합니까?
Linux 서버(예: CentOS 7, Fedora 21 및 RHEL 7)에서 SSH 무차별 암호 대입 시도를 감지하려면 다음 매개변수와 함께journalctl 명령을 사용할 수 있습니다.
# journalctl -u sshd |grep "비밀번호 실패"
이 명령은 실패한 로그인 시도를 나타내는 "Failed password " 문자열을 포함하는 SSH 서비스와 관련된 모든 항목에 대해 시스템 로그를 검색합니다 .
upstart를 사용하는 이전 RedHat 기반 시스템(예: CentOS 6 및 RHEL 6)의 경우 다음 명령을 사용하여 /var/log/secure 파일 에서 가능한 침입 시도를 검색할 수 있습니다.
#cat /var/log/secure |grep "비밀번호 실패"
이 명령은/var/log/secure 파일에서 " Failed password" 문자열이 포함된 모든 항목을 검색합니다 .
Windows 서버에서 무차별 암호 대입 공격을 어떻게 식별합니까?
이벤트뷰어는 시스템 및 응용 프로그램 로그를 볼 수 있는 Windows의 기본 제공 도구입니다.시작 메뉴로 이동하여 "이벤트 뷰어"를 입력하고 Enter 키를 눌러 이벤트 뷰어에 액세스할 수 있습니다. 이벤트 뷰어에서 보안, 시스템 및 애플리케이션과 관련된 로그를 찾습니다.
이벤트 뷰어의 "보안 로그"에는 로그인 시도와 같은 보안 관련 이벤트 기록이 포함됩니다. 이벤트 뷰어에서Windows 로그 폴더를 확장한 다음 "보안"을 클릭하여 보안 로그를 찾을 수 있습니다 .
각각 로그인 시도 실패 및 성공을 나타내는 이벤트 ID 4625 및 4624 가 있는 로그를 찾습니다 .
참고: 정기적으로 로그를 확인하고 네트워크 트래픽을 모니터링하여 무차별 대입 공격을 나타낼 수 있는 의심스러운 활동을 식별하는 것이 중요합니다.
이 블로그에서는 무차별 대입 공격을 방지하는 데 사용할 수 있는 다양한 도구와 방법에 대해 논의했습니다.
무차별 암호 대입 공격을 방지하기 위한 상위 5가지 도구
1. 아이피반
IPBan은 특정 IP 주소에서 반복되는 로그인 시도를 차단하므로 무차별 대입 공격을 방지하는 효과적인 도구입니다. 무차별 대입 공격은 일반적으로 사용자 이름과 암호의 다양한 조합을 시도하여 사용자의 로그인 자격 증명을 반복적으로 추측하는 자동화된 스크립트를 포함합니다. IPBan은 단일 IP 주소에서 많은 로그인 시도 실패가 발생할 때 작동합니다. 이 경우 IPBan은 해당 IP가 더 이상 시도하지 못하도록 자동으로 차단합니다.
IPBan 보안 앱은 봇넷과 해커를 차단하기 위해 Windows 및 Linux용으로 개발되었습니다. 보안은 서버 관리자의 주요 목표이므로 방화벽의 관리자 정의 봇넷 및 해커도 성능을 향상시킬 수 있습니다. 실패한 각 로그인 시도는 많은 양의 CPU 및 시스템 리소스를 소비합니다. 이것은 주로 원격 데스크톱 및 SSH 환경에 있습니다.
IPBan은 실패한 로그인 시도로부터 원격 데스크톱(RDP), SSH, SMTP 및 MySQL 또는 SQL Server와 같은 데이터베이스를 보호합니다. IPBan 구성 파일을 편집하여 Windows 또는 Linux 서버에 다른 프로토콜을 추가할 수도 있습니다.
요구 사항 –
- IPBan은 코드를 빌드하고 디버그하기 위해 .NET 6 SDK가 필요합니다.
- IPBan에는 관리자 또는 루트 액세스 권한이 있는 IDE 또는 터미널이 필요합니다.
지원되는 플랫폼 –
- Windows 8.1 이상(x86, x64), Windows Server 2012 이상(x86, x64), Linux(Ubuntu, Debian, CentOS, RedHat x64).
- IPBan Windows Server 2008은 일부 수정을 통해 작동할 수 있습니다. Windows Server 2008은 수명이 다해 더 이상 공식적으로 지원되지 않습니다.
- CentOS 및 RedHat Linux에서는 Yum 패키지 관리자를 사용하여 IPtables 및 IPset을 수동으로 설치해야 합니다.
- IPBan은 Mac OS X에서 지원되지 않습니다.
- 여기에서 IPBan 애플리케이션을 다운로드할 수 있습니다.
서버에 IPBan을 설치하면 무차별 암호 대입 공격을 방지하는 데 도움이 되는 몇 가지 이점이 있습니다.
- IPBan은 많은 수의 실패한 로그인 시도가 동일한 IP 주소에서 오는지 확인합니다. IP를 감지하면 해당 IP가 더 이상 시도하지 못하도록 자동으로 차단합니다. 이렇게 하면 공격을 효과적으로 차단하고 서버를 보호하는 데 도움이 됩니다.
- IPBan은 무단 액세스를 방지하고 민감한 정보를 보호하여 서버의 보안을 크게 높일 수 있습니다.
- IPBan은 무단 액세스가 웹 애플리케이션에 도달하기도 전에 차단하여 서버 부하를 줄이는 데 도움이 될 수 있습니다. 이렇게 하면 서버가 처리해야 하는 요청 수가 줄어듭니다.
- IPBan을 설치하면 서버의 성능도 향상시킬 수 있습니다.
전반적으로 IPBan은 무차별 대입 공격을 방지하는 강력하고 효과적인 도구입니다. 설정 및 사용도 간단합니다. 따라서 이러한 유형의 공격으로부터 보호해야 하는 모든 웹 사이트 또는 서버에 적합한 옵션입니다.
2. 뇌척수액
CSF(Config Server Firewall)는 무차별 대입 공격으로부터 웹사이트와 서버를 보호하는 웹 애플리케이션 방화벽(WAF)입니다. CSF를 사용하여 사용자 활동을 모니터링하고 방문자를 추적하며 웹 사이트와 서버가 안전하게 유지되도록 할 수 있습니다. 또한 네트워크 트래픽 흐름의 모든 변경 사항을 모니터링하고 보안 침해를 탐지할 수 있습니다.
방화벽 설치의 이점 –
- 방화벽은 소프트웨어나 하드웨어를 통해 개인 네트워크의 서버에 대한 무단 액세스를 방지합니다.
- 방화벽은 내부 시스템과 외부 장치 간의 데이터 흐름을 모니터링하고 제어하여 컴퓨터 네트워크를 보호합니다.
- 방화벽은 일반적으로 컴퓨터에서 들어오고 나가는 패킷(트래픽)을 모니터링합니다. 불법 콘텐츠 필터링 또는 원치 않는 웹 요청 차단.
- 사용자가 특별히 승인하지 않는 한 프로그램이 내부 네트워크 외부로 정보를 보내는 것을 방지합니다. 따라서 해커가 민감한 데이터에 액세스하지 못하도록 막습니다.
- 방화벽에서 규칙을 설정하고 실패한 로그인 시도 시스템의 IP 주소를 차단할 수 있습니다.
- 서버에 WHM/cPanel이 있는 경우 cPHulk Brute Force Protection을 활성화할 수 있습니다. 이 기능은 무차별 대입 공격으로부터 서버를 보호합니다 .
- 바이러스가 회사 네트워크에 침입하거나 확산되는 것을 방지합니다.
이 문서를 참조하여 서버에서 CSF를 다운로드할 수 있습니다.
3. 에블와처
EvlWatcher는 Windows 서버의 Fail2ban 애플리케이션과 유사하게 작동합니다. EvlWatcher 애플리케이션은 실패한 로그인 시도 및 기타 신뢰할 수 없는 활동에 대해 서버 로그 파일을 확인합니다. EvlWatcher가 미리 정의된 로그인 시도 실패 횟수보다 더 많이 발견하면 지정된 기간 동안 IP 주소를 차단합니다. EvlWatcher를 사용하면 서버에 대한 무단 액세스를 방지할 수 있습니다.
EvlWatcher는 훌륭한 애플리케이션입니다. 일단 설치하면 config.xml 을 편집하여 변경할 수 있는 기본 규칙으로 서버를 자동으로 보호합니다. 반복적으로 서버 침입을 시도하는 사람들을 위한 영구적인 IP 차단 목록도 있습니다. 그들은 세 번의 타격 후에 자동으로 거기에 착륙합니다. 차단 시간을 변경하거나 응용 프로그램에서 예외를 만들 수 있습니다.
GitHub에서 EvlWatcher 프로젝트는 아직 활발하게 개발 중입니다.
여기에서 EvlWatcher를 다운로드할 수 있습니다.
4. 멀웨어바이트
무차별 암호 대입 공격은 올바른 암호를 찾을 때까지 가능한 암호 조합을 추측하는 것입니다. 이 공격이 성공하면 맬웨어가 네트워크 전체에 확산되어 암호화된 데이터를 해독할 수 있습니다. 따라서 Malwarebytes Premium은 고급 바이러스 백신 및 맬웨어 방지 기술을 사용하여 무차별 대입 공격으로부터 서버를 보호합니다.
사이버 범죄자는 RDP 암호 취약성을 악용하여 서버에 대한 무차별 대입 공격을 수행하고 랜섬웨어 및 스파이웨어 형태의 맬웨어를 배포합니다. Malwarebytes의 Brute Force Protection 기능은 RDP 연결 노출을 줄이고 진행 중인 공격을 중지합니다.
광범위한 위협과 무차별 대입 공격으로부터 실시간 맬웨어 보호를 제공하는 바이러스 백신을 찾고 있다면 Malwarebytes Premium이 좋은 선택입니다. Malwarebytes Premium은 추가 바이러스 백신 소프트웨어 없이도 최적의 보호 기능을 제공합니다. 또한 최근에 바이러스에 감염되었거나 무차별 암호 대입 공격을 시도한 것이 우려되는 경우 요청 시 수동으로 서버를 검색할 수 있습니다.
Malwarebytes는 Windows, Linux, Mac OS, Android 및 Chrome OS에서 지원됩니다.
Malwarebytes는 장치에 설치한 후 14일 동안 무료입니다. 무료 평가판 종료 시 프로그램은 가장 기본적인 기능만 실행되며 추가 비용 없이 계속 사용할 수 있습니다. 사전 예방적 연중무휴 실시간 보호를 받으려면 1년 또는 2년 동안 Malwarebytes Premium 라이선스를 구입해야 합니다.
여기에서 Malwarebytes 애플리케이션을 다운로드할 수 있습니다.
5. 센트리
Sentry는 사용자 개입 없이도 SSH 연결을 조용하고 원활하게 보호하는 완전 자동화된 무차별 암호 대입 보호 애플리케이션입니다. Linux 서버에 대한 무차별 대입 공격에 대한 안전하고 강력한 보호 도구입니다. Sentry는 Perl로 작성되었습니다. 설치 및 배포는 매우 간단하며 종속성이 필요하지 않습니다.
Sentry는 SSH 데몬(SSHd)에 대한 무차별 대입 공격을 탐지하고 방지합니다. SSH 무차별 대입 공격은 TCP 래퍼와 널리 사용되는 여러 방화벽을 사용하여 Sentry에 의해 차단됩니다. SSH 데몬을 보호하도록 설계되었습니다. 그러나 이것은 FTP 및 MUA 서비스에서도 작동합니다. 추가 차단 목록을 지원하도록 Sentry를 쉽게 확장할 수 있습니다. 주요 목표는 리소스 수를 줄이는 것입니다.
악성 연결을 감지하기 위해 Sentry는 유연한 규칙을 사용합니다. 일반적으로 사용자가 유효하지 않은 사용자 이름이나 암호를 사용하여 시스템에 로그인하려고 하면 의심스러운 것으로 간주됩니다. 원격으로 서버에 액세스하고 서버를 관리하는 데 사용되는 SSH 프로토콜의 경우 특히 그렇습니다. 유효하지 않은 사용자가 SSH를 통해 로그인을 시도하면 서버는 일반적으로 로그인 시도를 거부하고 해당 이벤트를 보안 경고로 기록할 수 있습니다. 구성 섹션에서 Sentry의 스크립트 관련 규칙을 볼 수 있습니다.
서버에서 Sentry 도구를 다운로드하는 방법에 대한 정보는 이 문서를 참조하십시오.
무차별 암호 대입 공격을 방지하기 위한 기술
1. 강력한 암호를 사용하십시오.
가장 먼저 해야 할 일은 강력한 암호를 만드는 것입니다. 강력한 암호는 추측하기 어렵고 일반적으로 사용되지 않는 문자를 사용한다는 것을 의미합니다. 원하는 문자를 사용할 수 있지만 일반적으로 사용되지 않는지 확인하십시오. 사전 단어를 사용하는 경우 사람들이 쉽게 추측할 수 있는 단어를 피하십시오. 예를 들어 'password'라는 단어가 포함된 비밀번호를 만들려는 경우 '[email protected]'과 같은 것을 선택하지 마세요. 대신 'passw0rd' 또는 'my_secret_password'와 같은 것을 사용하십시오.
2. 암호를 재사용하지 마십시오.
여러 계정에서 동일한 암호를 재사용하면 공격자가 단일 로그인 자격 증명 세트로 여러 계정에 액세스할 수 있는 위험이 증가합니다. 이는 금전적 손실이나 개인 정보 도용과 같은 심각한 결과를 초래할 수 있습니다.
무차별 암호 대입 공격의 위험도 증가하므로 암호를 재사용하지 않는 것이 중요합니다. 여러 웹사이트에 동일한 비밀번호가 있는 경우 이메일 계정에 액세스할 수 있는 사람도 해당 사이트에 액세스할 수 있습니다. 따라서 한 사이트에서 비밀번호를 변경하면 다른 사이트에서도 비밀번호를 변경해야 합니다. 각 계정에 대해 고유한 암호를 사용하고 암호 관리자를 사용하여 암호를 안전하게 생성 및 저장하면 무차별 암호 대입 공격을 방지할 수 있습니다.
3. 비밀번호를 자주 변경하세요.
이 공격에는 액세스 권한을 얻기 위해 반복적으로 로그인 자격 증명을 추측하는 것이 포함되므로 무차별 암호 대입 공격을 방지하려면 암호를 자주 변경하는 것이 중요합니다. 암호를 정기적으로 변경하면 공격자가 올바른 로그인 자격 증명을 추측하기가 더 어려워집니다.
최소한 3개월에 한 번 또는 계정이 도용된 것으로 의심되는 경우 비밀번호를 변경하는 것이 좋습니다. 새 비밀번호를 만들 때 문자, 숫자 및 특수 문자가 혼합된 강력하고 고유한 비밀번호를 사용하는 것이 중요합니다. 이름, 생년월일 또는 일반적인 단어와 같이 쉽게 추측할 수 있는 정보를 사용하지 마십시오.
4. 소프트웨어를 최신 상태로 유지하십시오.
침입할 수 없는 보안을 유지하려면 컴퓨터의 소프트웨어를 최신 상태로 유지하는 것이 중요합니다. 소프트웨어 개발자는 컴퓨터를 바이러스, 맬웨어 및 기타 온라인 위협으로부터 보호하는 데 도움이 되는 중요한 보안 수정 사항이 포함된 업데이트를 릴리스합니다. 정기적으로 업데이트를 확인하고 설치하면 컴퓨터를 안전하게 보호하고 원활하게 실행할 수 있습니다. 중요한 업데이트가 있는지 알아보기 위해 사용하는 소프트웨어의 웹사이트를 정기적으로 확인하는 것도 좋은 생각입니다.
5. 이중 인증(2FA)을 사용합니다.
2단계 인증을 추가하면 로그인 정보를 보다 안전하게 보호할 수 있습니다. 여기에서 로그인할 때 사용자 이름, 암호 및 전화 또는 이메일 주소로 전송된 문자 메시지 코드를 입력해야 합니다. 이렇게 하면 누군가 사용자 이름/암호 조합을 도용하더라도 데이터를 더욱 안전하게 보호할 수 있습니다.
6. RDP/SSH 서비스 기본 포트를 변경합니다.
Microsoft Windows OS는 기본 포트 3389에서 원격 데스크톱 서비스와 함께 제공됩니다. 일반적으로 사용되는 포트이므로 원격 데스크톱에 대한 무차별 대입 공격의 쉬운 대상이 될 수 있습니다.
이 기사를 참조하면 Windows VPS/Dedicated 서버에서 RDP 포트 3389를 비표준 포트로 쉽게 변경할 수 있습니다.
마찬가지로 SSH 서비스도 22 포트와 함께 제공됩니다. 기사를 참조하여 이 포트를 변경할 수 있습니다.
- CentOS에 대해서는 이 문서를 참조하십시오.
- Ubuntu의 경우 이 문서를 참조하십시오.
7. 특정 IP 주소에 대한 RDP 서비스 액세스 제한
IP 기반 제한을 통해 관리자는 특정 서비스에 대한 액세스를 등록된 IP 주소 범위로만 제한할 수 있습니다. RDP 연결을 보호하기 위해 많은 관리자가 IP 기반 제한을 사용하도록 선택합니다. 이렇게 하면 특정 IP 주소만 RDP 포트에 연결할 수 있습니다. 이렇게 하면 무단 액세스를 방지하고 잠재적인 보안 위협으로부터 보호할 수 있습니다.
이 문서를 참조하여 IP 기반 제한을 설정할 수 있습니다.
결론
무차별 대입 공격은 이 기사에서 논의한 여러 도구와 기술을 사용하여 방지할 수 있습니다. 강력한 암호 및 다단계 인증 사용에서 RDP/SSH 서비스용 비표준 포트 사용에 이르기까지 특정 IP 주소에 대한 RDP/SSH 서비스 액세스를 제한하는 것은 무차별 암호 대입 공격으로부터 안전하게 유지하는 데 필수적입니다.
서버의 로그와 네트워크 트래픽을 모니터링하여 무차별 암호 대입 공격을 나타낼 수 있는 의심스러운 활동을 식별하는 것도 중요합니다. 또한 온라인에서 사용할 수 있는 여러 온라인 도구는 단일 IP 주소에서 반복되는 로그인 시도를 차단하여 무차별 암호 대입 공격을 방지하는 데 도움이 될 수 있습니다.
따라서 이러한 간단한 단계를 수행하면 데이터 및 기타 개인 정보를 해커로부터 안전하게 보호할 수 있습니다.