무차별 입력 공격

무차별 입력 공격

특정한 암호를 알아내기 위해 공격자가 모든 무작위 값들의 조합을 반복적으로 입력함으로써 해킹을 시도하는 공격

 

유형

1. 크리덴셜 재활용

이전에 확보한 사용자 이름과 비밀번호를 이용하는 공격 방법

 

2. 사전 공격

비밀번호에 이름, 도시, 사물 등의 단어를 사용하는 사람이 많다는 것을 이용하여 사전의 단어를 이용한 무차별 암호 대입 공격

 

3. 역방향 무차별 암호 대입 공격

차별 암호 대입 공격을 역방향으로 시도하는 방식. 하나의 계정에 여러 비밀번호를 입력하는 무차별 암호 대입 공격과 달리, 역방향 무차별 암호 대입 공격은 하나의 비밀번호를 여러 계정에 입력한다. 

 

AWS WAF를 활용한 무차별 입력 공격 실습은 서비스가 종료되었기 때문에 사용자 정의 규칙을 활용한 방어 실습만 진행하였다. 

 

 

 

무차별 입력 공격 방어 실습 - 사용자 정의 규칙

Brute_force라는 이름의 사용자 정의 규칙을 생성해준다.

위의 규칙에 대해 설명이 부족한 것 같아 좀 더 찾아보았다. 

 

• Rate-based 규칙: 단시간에 다수의 로그인 시도를 감지하여 특정 IP를 차단한다. 브루트포스 공격에서 발생하는 빈번한 로그인 시도를 방어할 수 있다. 
• IP 기반 차단: 지속적인 공격을 시도하는 IP를 제한하여 서버의 부하와 비정상 접근을 줄인다. 

 AWS WAF 규칙의 차단 방식을 좀 더 직관적으로 확인하기 위하여 DVWA 에 직접 접속해서 로그인을 시도해보았다. 

로그인을 하면 위와 같이 CAPTCHA 안내페이지가 나온다. 

 

※ CAPTCHA: 컴퓨터와 인간을 구별하기 위한 완전 자동화된 공개 튜링 테스트. 쉽게 말해 이미지를 통해 사람과 기계를 구별하는 프로그램이다. 

이렇게 CHAPCHA Challenge를 해결하면 아래와 같이 정상적으로 로그인되는 것을 확인할 수 있다.

 

 

 

무차별 입력 공격 대응 방안

• 길고 복잡한 암호 ( 대/소문자, 특수 문자 포함 10자 이상 등 ) 사용
• 특정 횟수 잘못된 암호를 사용하여 로그인 시도 시 계정 잠금 등의 조치
• CAPTCHA를 로그인 과정에 추가시켜 컴퓨터를 이용한 자동화 공격을 방지
• 특정 계정은 특정 IP대역에서만 접속할 수 있도록 옵션을 설정
• MFA(Multi-Factor Authentication)를 사용하여 추가적인 사용자 인증 과정을 거치도록 함