浅谈口令攻击与防范

开篇：润墨网以专业的文秘视角，为您筛选了一篇浅谈口令攻击与防范范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：本文阐述了常见的口令攻击技术：从用户主机中获取口令，在通信线路上截获口令，从远端系统中破解口令，并介绍了相关的防范措施。

关键词：口令攻击；嗅探器；远端系统；身份鉴别

中图分类号：TP393文献标识码：A 文章编号：1009-3044(2007)03-10693-02

口令认证是目前防止非法者进入和使用系统最有效也是最常用的做法之一，获取合法用户的帐号和口令已经成为黑客攻击的重要手段之一。现在，有一部分人喜欢破解他人的各种口令，这也给网络安全造成一定的威胁。

1 常见的口令攻击技术

口令认证的过程是用户在本地输入ID和口令，经传输线路到达远端系统进行认证。由此，就产生了3种口令攻击方式，即从用户主机中获取口令，在通信线路上截获口令，从远端系统中破解口令。

1.1 从用户主机中获取口令

根据攻击者是否具有对用户主机的使用权可分为两面三刀种：一是具有使用主机的一般权限；二是不具有使用主机的任何权限。前者多见于一些特定场所，如企业内部，大学校园的计算中心、机房、网吧等。所破解的密码有：Word、Excel、Access的办公文件。BIOS密码，网吧管理软件的密码等。所使用的工具多为可以从网上下载的专用软件。这并不要求破解者有很高的技术水平，只要具备使用软件的一般能力就可以进行破解。对于后者一般要与其他黑客技术相配合使用。比如黑客通过缓冲区溢出等攻击方法取得系统控制权后，通过安装木马或键盘记录器来窃取用户的各种口令。

1.2 在通信线上截获口令

局域网通过网络互联设备与外部Internet相连，由于局域网的特殊结构，使得黑客可以利用嗅探技术截取在通信线路上传输的口令信息。

嗅探器（Sniffer）是一种利用计算机网络接口截获目的地为其他计算机的数据报文的程序。在合理的网络中，Sniffer的存在对于系统管理员来说是很重要的，但若为某些人所使用，却可以造成用户口令的泄露。

1.3 从远端系统中破解口令

这里的远端系统是指Web服务器或黑客欲入侵的其他服务器。破解的口令有E-mail基于Web的访问口令，系统中一般用户和管理员的口令等。在线或离线攻击是Internet上常用的口令攻击手段，攻击者在在线或离线状态下，对用户口令进行穷举或字典法猜测攻击。

1.3.1 穷举法

穷举法对纯数字的密码有很好的破解效果，但若密码中含有字线或其他字符就不适合采用这种方式。它的原理是逐一尝试数字的所有排列组合，直到破解出密码或尝试完所有组合为止。比如对6位纯数字的密码，有10的6次方即1000000种可能，若每秒尝试1万次，则只需100秒的时间就可以遍历所有的可能性。

1.3.2 字典法

由于某些用户喜欢使用英文单词，姓名拼音、生日、数字或这些字符的简单组合作为密码，黑客就可以先建立包含大量此类单词的密码字典，然后使用程序一一尝试字典中的每个单词，直到破解出密码或字典被遍历为止。

2 防范

2.1 防止和检测嗅探

2.1.1 加密

在通信线路上传输的一些敏感信息如用户的ID和口令等，如果没有经过处理，一旦被Sniffer捕获，就能造成这些敏感信息的泄露，解决的方法之一就是进行加密。有多种方法可以进行加密，如SSH即Secure Shell，是一种介于传输层与应用层之间的加密通道协议。它包含三个组成部分：一是传输层协议（SSH―TRANS），负责进行服务器认证、数据加密和完整性保护，还提供数据压缩功能；二是用户认证协议（SSH―USERAUTH），它建立在传输层协议之上，服务器发起认证，告知客户端它所支持的认证方式，客户端从选择，只有用户完成认证，服务器才启动客户端请求的服务；三是连接协议（SSH―CONNECT），它提供交互的SHELL会话，支持远程命令执行，提供TCP端口转发和X11连接转发功能。此外还有SSL（Secure Socket Layer）和VPN（Virtual Private Network）。

2.1.2 检测

虽然处于混杂模式下的主机并不会主动向处发送任何显露其嗅探特征的数据包，但在某些情况下，通过处部强加的一些诱因，可使隐藏在黑暗处的嗅探器显露出来。

如检测者可以先向目标主机发送ICMPecho请求包，收到响应后，计算其反应时间，经过多次测试，得到一个稳定的基准值。然后检测者发送大量虚假数据包，同时再次向目标主机发送正常的ICMPecho请求。对于正常的网卡，不会接收这些突发的虚假数据包，因而对操作系统的性能影响不大，检测者收到的ICMPecho响应后计算得到的反应值和先前的基准值相差不大，但对于正在嗅探的主机，则会对虚假的数据包进行响应，导致操作系统性能下降，继而对检测者发送的正常ICMPecho请求反迟缓，它的反应值和先前的基准值相差较大，这样就可以发现正在嗅探的主机了。

2.2 加强口令安全

根据目前计算机的解密能力和解密算法，防止口令被使用穷举法或字典法猜解出，应加强口令安全，主要措施有：

(1)口令长度不小于6位，并应包含字母，数字和其他字符；

(2)避免使用英文单词、生日、姓名、电话号码或这些信息的简单组合作为口令；

(3)不要在不同的系统上使用相同的口令；

(4)或不定期地修改口令；

(5)使用口令设置工具生成健壮的口令；

(6)对用户设置的口令进行检测，及时发现弱口令；

(7)对某些网络服务的登录次数进行限定，防止远程猜解用户口令。

2.3 身份鉴别

口令技术作为一种常用的身份认证方法，存在的最大问题是口令的泄露。现在已经有一次性的动态口令密码体制。此外，基于密码学原理的身份认证协议比基于口令的认证更加安全，且能提供更的多的安全服务，对于一些重要的系统来说，使用这些认证协议是必要的。

2.3.1 数字签名

数字签名是通信双方在网上交换信息时使用公钥密码防止欺骗和伪装的一种身份签证。公钥密码中每个用户都有两个密钥匙，实际上是两个算法，比如用户a，一个是加密算法Ea，一个是解密算法Da。若a要向b发送信息M，可用a的保密的解密算法Da对M进行加密得Da（M），再由b的公开加密算法对Da（M）进行加密得：

C=Eb（Da（M））

B受到密文C后，先用自己的解密算法Db对C进行解密得；

Db（C）=Db（Eb（Da（M）））=Da（M）

再用a的公开算法Ea对Da（M）进行解密得：

Ea（Da（M））=M

从而得到了明文M。

由于C只有a才能产生，b无法伪造或修改C，所以a也不能抵赖，这样达到签名的目的。

2.3.2 Kerberos鉴别

Kerberos鉴别是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。它在学术界和工业界都得到了广泛的支持，被众多系统选作为身份认证的基础平台。Kerberos可在开放的网络上运行，不要求网络上所有主机的物理安全，同时它还假设通过网络传输的包可以被任意地截获，修改和插入。Kerberos系统非常适合于在一个物理网络并不安全的环境中使用，它的安全性是经过了实践的考验的。

3 结束语

口令攻击已经成为信息与网络安全中的一个不容忽视的问题。其攻击形式日益多样化，攻击技术也在不断进步之中。应加强防范意识，研究相应的防范方法。

参考文献：

[1]网络与信息安全系列课程实践教程.合肥工业大学出版社.

[2]张小斌，严望佳.黑客分析与防范技术. 北京启明星辰信息技术有限公司.

[3]陈浩.Internet上的网络攻击与防范[J].电信技术,1998．

[4]黑客防线．http：//.cn.

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。