ব্রুটফোর্স (Brute-force) & ডিকশন্যারি Dictionary attack কি? কিভাবে BuiteForce অ্যাটাক করা হয়? ব্রুট ফোর্স এটাক থেকে কিভাবে সুরক্ষিত থাকবেন?

ব্রুটফোর্স এট্যাক(Bruteforce attack):

আপনি কারো কম্পিউটারে/ যে কোন সিস্টেমে বা সোশ্যাল মিডিয়া একাউন্টে অথবা ওয়েবসাইটে লগইন করতে গেলেন। তার পাসওয়ার্ড আপনি জানেন না। তাহলে সাধারনত কি করেন? অনুমান করে একটি পাসওয়ার্ড লিখে দেন। এটি লগইন না হলে কি করেন? আরেকটা দেন। তারপর আরেকটা। এই এটা কি ম্যানুয়ালি করতে গেলে অনেক সময় লাগে তাই কোন একটি সফটওয়্যার বিভিন্ন কম্বিনেশনের পাসওয়ার্ড সার্ভারে পুশ করতে থাকে এবং যেকোনো একটি মিলিয়ে যায় এবং আক্রমনকারী সিস্টেমে অ্যাক্সেস পেয়ে যায়।

ব্রুট ফোর্স এটাক (Brute-force Attack) মূলত এটাই। আন্দাজ করে একের পর এক পাসওয়ার্ড দিয়ে যাওয়া। এবং পাসওয়ার্ড ভিঙে সারভারে প্রবেশ করা।

ব্রুটফোর্সের ক্ষেত্রে মুলত সফটওয়্যার বা টুলস ব্যাবহার করে নির্দিষ্ট পাসওয়ার্ড কে , A-Z, a-z, 1-0, @#%& ইত্যাদি বর্ণ, সংখ্যা এবং চিহ্ন সমুহকে পর্যায়ক্রমে একেরপর এক নানা কম্বিনেশনে বসিয়ে টেস্ট করা হয়।

এভাবে টুলসএর সাহায্যে পর্যায়ক্রমে অটোমেটিক্যালি টেস্ট চলতে থাকে. এবং পাসওয়ার্ড ম্যাচ হওয়ার সাথে সাথেই এট্যাক বন্ধ হয়ে যায় এবং এট্যাকার কে তার কাঙ্ক্ষিত পাসওয়ার্ড শো করে।

 

ডিকশনারি এট্যাক(Dictionary Attack):

ডিকশনারি অ্যাটাক অনেকটা ব্রুট ফোর্স অ্যাটাক এর মতই, তবে এখানে কিছু Guess পাসওয়ার্ড ব্যবহার করা হয়।

এক্ষেত্রে এনক্রিপশন ব্রেকডাউন করার জন্য কমন কিছু কাস্টম পাসওয়ার্ড লিস্ট তৈরী করে একের পর এক লগইন করার চেষ্টা করা হয়(টুলস এর মাধ্যমে)। কাস্টম পাসওয়ার্ড লিস্ট তৈরি করার ক্ষেত্রে ওই ব্যক্তির নাম, প্রতিষ্ঠান, ডেট অফ বার্থ কোন কিছু ইনফরমেশন ব্যবহার করা হয়। ডিকশনারী এটাকের জন্য বিভিন্ন সফটওয়্যারও পাওয়া যায়।

 

ব্রুট ফোর্স এটাক থেকে কিভাবে সুরক্ষিত থাকবেন?

>> ব্রুট ফোর্স এটাক থেকে রক্ষা পেতে আপনি একটু কঠিন পাসওয়ার্ড দিন। কঠিন পাসওয়ার্ড বলতে
1. পাসওয়ার্ডটি কমপক্ষে ৮ ডিজিটের
2. পাসওয়ার্ডে Capital বা বড় হাতের ও small ছোট হাতের অক্ষর দিন।
3. পাসওয়ার্ডটিতে নিউমেরিক কী (1234567890) দিন।
4. পাসওয়ার্ডটিতে সাইন ব্যবহার করুন যেমন: !@#$%^&*()

>> ভিন্ন ভিন্ন ওয়েবসাইটের জন্য ভিন্ন ভিন্ন পাসওয়ার্ড ব্যবহার করুন। বিশেষ করে ইমেইলের পাসওয়ার্ডটি দিয়ে কোন ওয়েবসইটে রেজিস্ট্রেশন করবেন না। অর্থাৎ লগইন উইথ গুগল বা ফেইসবুক দিবেন না।

>> নিজের ওয়েবসাইটের ক্ষেত্রে লগইন ফর্মে ক্যাপচার ব্যবস্থা করুন। এক্ষেত্রে ব্রুট ফোর্স অ্যাটাক কারী অনেক সময় কয়েকবার চেষ্টা করার পর সার্ভার আর চেষ্টা করতে দেয় না।

 

 

গেট(GET) মেথড:
একটি get রিকুয়েস্টে কুয়েরিকৃত স্ট্রিং কে নাম এবং ভ্যালুর জোড়া আকারে URL এর মাধ্যমে পাঠানো হয়ঃ …/codemanbd.com?register=1

> গেট(get) রিকুয়েস্টে তথ্য ব্রাউজারের URL প্রদর্শিত হয়।
> গেট(get) রিকুয়েস্টে তথ্য ব্রাউজার ক্যাচ(cached) করতে পারে।

 

পোস্ট(POST) মেথড:
একটি post রিকুয়েস্টে কুয়েরিকৃত স্ট্রিং কে নাম এবং ভ্যালুর জোড়া আকারে এইচটিটিপি(HTTP) ম্যাসেজ বডিতে পাঠানো হয়ঃ POST …/codemanbd.com HTTP/1.1

> পোস্ট(POST) রিকুয়েস্টে তথ্য কখনই ব্রাউজারের URL প্রদর্শিত হয় না।
> পোস্ট(POST) রিকুয়েস্টে তথ্য কখনই ব্রাউজারে ক্যাচড(cached) করতে পারেনা।

 

কিভাবে BurpSuite এর মাধ্যমে BuiteForce অ্যাটাক করতে পারি?

Single attack (Sniper):
> Open Burpsuite > proxy > click: intercept in on
> in mozilla type e website admin panel : like www.minhazulasif.me/wp-admin
> In Burpsuite > Proxy you will see the request grabbed

 

> right button > send to intruder
> go intruder
> Positions : Sniper attack (Single Attack)
> clear all > select password > add

> Payloads : add payload for passwords

> start attack
> get result (check status > filter is to get the successful result)

 

Double attack (Cluster Bomb):
Multiple attack (cluster Bomb):
> Open Burpsuite > proxy > click: intercept in on
> in mozilla type e website admin panel : like www.minhazulasif.me/wp-admin
> In Burpsuite > Proxy you will see the request grabbed

 

> right button > send to intruder
> go intruder
> Positions : Cluster Bomb attack (Double Attack)
> clear all
> select user > add
> select password > add
> payloads > payload set 1 : add user names
> payloads > payload set 2 : add passwords

> start attack
> get result (check status > filter is to get the successful result)

Thanks
Minhazul Asif