暴力破解审计工具

大佬说：

对付暴力破解最有效的方式是多因素认证或非密码认证，考虑到可用性的问题，不太可能开启账户登录失败锁定策略，那样的话就随着互联网上的暴破直接变成拒绝服务了，所以在无法使用MFA（多因素认证）或证书认证的场合，最低的底线还是设置复杂的密码，但是什么才算是复杂的密码呢？这个定义可能跟过去完全不同。过去满足一定长度和复杂度的就算是可以，而如今攻击者早已站在大数据的维度，即攻击者手上拥有各种社工库，拥有几十亿网名的常用密码，尽管你可以设置一个看上去有一定复杂度的密码，但只要这个密码在黑客的“字典”里，在攻击者的数据库中，那实质上还是一个“弱”密码。有些入侵事件的根因分析，因为觉得自己管理员密码比较长所以就主观排出了通过口令入侵的可能，但是在其他点又找不到原因，然后顺着APT的方向去了，再然后就没有然后了……其实没想到就是“弱”密码导致的。

by 赵彦 《互联网企业安全高级指南》

6.2.4 账号密码

简单来说，多因素认证无法落地的情况下，暴力破解是必然的。

从事前预防角度，可以通过主动破解密码的方式，发现自身存在的弱密码。从事后审计角度，也可以分析登录日志，发现暴力破解成功的记录。

工具获得方法：微信关注“仙人掌情报站”，后台发送“NorthGate”，获得下载链接。

使用方法：

1. 将日志文件放入input文件夹。日志文件应为csv格式，至少包含以下字段：

源ip：登录源地址

目的ip：登录目的地址

用户名：登录使用的账户

密码：登录使用的密码

信息：登录成功/失败的标志

具体可以参考测试日志文件。

2. 修改配置文件

input_path：源日志输入文件夹

output_path：分析结果输出文件夹

tag_suc：登录成功标识关键词

tag_fail：登录失败标识关键词

tag_split：csv文件字段分隔符

line_no_info：信息字段所在列

line_no_sip：源ip字段所在列

line_no_un：用户名字段所在列

line_no_pw：密码字段所在列

line_no_dip：目的ip所在列

thread_no：并发线程数

pass_word_count：单一账户允许出现的错误密码种类数量

说明：关于配置文件最后一项pass_word_count，主要是为了降低误报率，对登录失败的情况设置一个容忍度。比如，pass_word_count设置为3的情况，可以允许同一账户使用不超过3种错误密码，而不判断为暴力破解成功。这样可以规避用户无意输错密码或者客户端配置错误密码的情况。

3. 运行NorthGate.exe

4. 在输出文件夹中查看结果。对于每个源日志文件将产生两个分析结果文件：分析过程和分析结果。

PS：使用中遇到的问题，各种讨论、意见和建议，欢迎在“仙人掌情报站”后台留言。

声明：本文来自仙人掌情报站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。